兴趣

Voodooshield简易教程

一、简介

Voodooshield是白名单机制的防护软件,功能就是禁止一切非授权程序、脚本与命令运行,在未知程序启动时,会询问你是否加入白名单。非白即黑的机制使得Voodooshield这一个人软件在阻止99.9%的病毒的同时,拥有极低的资源占用。

二、局限

Voodooshield不是万能的,它是也只是一款anti-exe,这意味着它对一切不启动新进程的恶意软件(一小部分exploit)无能为力。

三、使用

考虑到大部分尝鲜用户不会花30美金购买授权,仅简单介绍免费版的功能,免费版在防护能力上与收费版完全一致,只是无法自定义设置。

一旦购买无法退款,请试用免费版至少一星期再下决定!



1、初始设置

安装后,VS会自动将Windows核心程序与ProgramFiles文件夹中的程序加入白名单。白名单匹配使用路径、哈希、命令行、父进程、运行账号等多种方式,不必担心会被绕过。

安装VS之前请确保你的系统是干净的,VS不是杀毒软件,不负责做出判断!



建立初始白名单后,VS将在右下角显示盾牌图标以提示目前的防护模式。



2、防护模式



(1)DISABLE/INSTALL

该模式下VS仅会运行基础的自我防护,放行一切启动。

(2)TRAINING

该模式与DISABLE模式相似,但会自动将一切运行的程序加入白名单。

(3)ALWAYS ON

该模式下VS只允许白名单内程序运行,同时在未知程序启动时VS会弹窗询问并附上virustotal扫描结果和VS自己的机器学习引擎(不太靠谱)结果,点击相应结果会弹出详情。
弹窗如下:


(4)SMART
VS内置了一个易受入侵的状态列表(付费版可以自己设置),比如常见浏览器、电子邮件客户端处于开启状态,U盘已插入等,在这些情况下自动进入ALWAYS ON模式,日常则保持在TRAINING模式,达到最小化干扰。但我建议免费版不要使用这个模式,因为事实是只要联网就易受入侵,这个模式并不安全。

(5)AUTOPILOT

在这个模式下,VS如同普通杀毒软件一样工作,在遇到未知程序时,查询VT和VoodooAI结果,报得少就自动放行并加入白名单,多就自动阻止。这个模式适合在建立白名单时使用,减少建立白名单时的人工介入。由于VT在大陆访问很慢,这种模式会造成电脑运行缓慢仍然不适合日用。

3.使用方法

在建立初始白名单后,在smart或者auto模式下运行几天,让常用程序和命令进入白名单,然后转为ALWAYS ON模式日用。VS的使用就是这样傻瓜,而其防护效果大于大部分安软,这是白名单机制的先天优势。


四、常见问题

VS遇到新程序时导致电脑缓慢?

网络问题,如果你没有代{过}{滤}理,就右击盾牌,选择offline模式,此模式下VS不会进行任何查询,遇到未知程序启动会立刻弹窗询问。

VS如何防止白名单中程序被利用?

问题在于入侵手段。

如果是白加黑,那首先要有黑dll+白exe/driver或者黑exe+白driver进入系统并被无意间启动,在voodooshield进入锁定模式后,没有任何非授权exe或命令行可以运行,那白加黑如何进入系统呢?除非自己作死引入,不然没有问题。

如果是exploit比如利用浏览器漏洞或者PDF阅读器漏洞,那就要看情况了。VS没有办法阻止入侵过程,但绝大多数exploit会启动新的进程或者运行shell来进行恶意行为,VS会拦截他们。但仍然有部分高危expliot可以在不运行新程序和shell的情况下执行恶意代码,这是VS无能为力的。我的解决办法是将windows10自带的exploit protection开启并对部分高危进程使用更严格的设置,同时搭配其他anti-exploit,并开启内存隔离。

供应链攻击,像当时的ccleaner,或者华硕liveupdate自动下载病毒。这只能说这是世界性难题,即使是所谓zero trust的防护软件也总要去信任一些东西。VS在匹配白名单时使用哈希,这让静默更新可以被察觉,也有virustotal扫描器和自己的机器学习扫描器去提示新文件的安全性,部分缓解了这个问题。然而我们都知道当时ccleaner让几乎所有安软吃瘪了(没有个人安软成功防御),所以为了避免这种问题应该尽量使用来自大公司(准确的说法是软件行业的大公司,华硕、西数这种硬件公司软件通常写的很烂)的软件以及开源软件,除此之外没有其他方法。

VS是否能防止黑客入侵?

同样取决于手段,常见的入侵工具都会反弹shell给入侵者,VS可以拦截。如果是exploit,参照上面。

VS是否能搭配其他安软?

可以,事实上VS的初衷就是与其他防护软件共用,只要你相互加白名单就好。

VS付费版值么?

VS是小众软件,这就意味着价钱不会有大厂这么低,也不会有中国优惠,更不要说VS免费版防护也不差,我是出于支持作者才购买收费版。
 

6900cookie-checkVoodooshield简易教程
Zairun

风雨几十载润物细无声

留言

您的电子邮箱地址不会被公开。