OSArmor überwacht und blockiert verdächtige Prozesse unter Windows

OSArmor ist ein neues Sicherheitsprogramm von NoVirusThanks für Microsoft Windows-Geräte, das das System überwacht, um verdächtige Prozesse oder Aktionen auf dem System zu blockieren.

In das Sicherheitsprogramm ist ein grundlegender Anti-Exploit-Schutz integriert, der jedoch nicht mit Microsoft EMET oder Malwarebytes Anti-Exploit vergleichbar ist, da der Schwerpunkt darauf liegt, zu verhindern, dass bestimmte Prozesse an erster Stelle ausgeführt werden oder bestimmte Aktivitäten ausgeführt werden.

Ein grundlegendes Beispiel ist das Blockieren von Prozessen mit doppelten Dateierweiterungen, sample.txt.exe, um ihren tatsächlichen Typ vor ahnungslosen Benutzern zu verbergen.

OSArmor Bewertung

OSArmor ist mit allen aktuellen Versionen des Microsoft Windows-Betriebssystems kompatibel. Die Anwendung muss installiert werden, bevor sie verwendet werden kann. Das Installationsprogramm selbst ist sauber und das Programm wird direkt nach der Installation gestartet.

Die Schnittstelle ist zu diesem Zeitpunkt grundlegend. Es werden Sitzungsinformationen zur Anzahl der gesperrten Prozesse, zum letzten gesperrten Prozess sowie zu Datum und Uhrzeit des Ereignisses angezeigt.

Sie können nur den Protokollordner oder die Konfiguration öffnen. Erstmalige Benutzer möchten die Konfiguration möglicherweise zuerst öffnen, da sie alle von OSArmor unterstützten Sicherheitsfunktionen auflistet.

Die meisten Schutzoptionen sind standardmäßig aktiviert. Die Liste ist ziemlich lang, hier eine kurze Auflistung von interessanten:

  • Blockieren Sie die Ausführung von pif-, com- und doppelten Dateierweiterungen.
  • Blockieren Sie die Verbreitung von Malware über USB.
  • Verhindern Sie "wichtige" Systemänderungen über bcedit.exe.
  • Blockieren Sie die direkte Ausführung von Skripten und exe-Dateien aus Archiven.
  • Verhindert, dass regsrv32 Remote-Skripte und / i: -Parameter ausführt.
  • Blockieren Sie Prozesse, die von wscript.exe, cscript.exe, mshta.exe und wmic.exe ausgeführt werden.
  • Blockieren Sie die in PowerShell ausgeblendete Umgehung der Ausführungsrichtlinie und den Fensterstil.
  • Blockieren Sie Remote-URL-Downloads über die Befehlszeile.
  • Blockiert die direkte Ausführung von JavaScript- und VBscript-Code.
  • Begrenzen Sie Windows Screensaver-Dateien auf den Windows-Ordner.
  • Blockieren Sie die Ausführung von schtasks.exe.

Die einzigen nicht aktivierten Optionen blockieren die Ausführung nicht signierter Prozesse in den Applets Local AppData, Roaming AppData, CommonAppdata und Control Panel.

Das Programm wird ohne Hilfedatei geliefert und ist daher ein Werkzeug für fortgeschrittene Benutzer. Es wird größtenteils unbeaufsichtigt im Hintergrund ausgeführt und schreibt alle blockierten Prozesse in tägliche Protokolldateien.

Die Protokolldateien zeigen den Verlauf blockierter Prozesse und sind die einzige Möglichkeit, Probleme zu beheben. In Protokollen werden Datum, Uhrzeit und Prozesse sowie Regeln aufgeführt, die die Ausführung des Prozesses blockiert haben.

Einer der Hauptmängel von OSArmor ist, dass es keine Whitelist gibt. Sie können eine Schutzfunktion nur deaktivieren, wenn Sie feststellen, dass legitime Prozesse von der Anwendung blockiert werden.

Das Programm benötigt eine Whitelist und eine Schnittstelle, die alle blockierten Prozesse direkt auflistet, damit Sie bestimmte blockierte Prozesse einfach whitelisten können.

Schlussworte

OSArmor 1.0 ist ein vielversprechendes Sicherheitsprogramm für Windows, das Aktivitäten blockiert, die häufig von Malware und anderer unerwünschter Software missbraucht werden. Der Mangel an Kontrolle darüber, was blockiert wird, ist an dieser Stelle die Hauptschwäche des Programms.

Eine Option zum Anzeigen einer Eingabeaufforderung (Ausführung zulassen oder verweigern, online recherchieren) wäre nützlich, und eine Whitelist muss ebenfalls implementiert werden, damit Fehlalarme behoben werden können, ohne dass eine Funktion vollständig deaktiviert werden muss.