OSArmor é um novo programa de segurança da NoVirusThanks para dispositivos Microsoft Windows que monitora o sistema para bloquear processos ou ações suspeitas no sistema.
O programa de segurança possui uma proteção básica anti-exploração incorporada, mas não é comparável ao Microsoft EMET ou ao Malwarebytes Anti-Exploit, pois seu foco é impedir que determinados processos sejam executados em primeiro lugar ou que certas atividades sejam executadas.
Um exemplo básico é o bloqueio de processos com extensões de arquivo duplas, sample.txt.exe para ocultar seu tipo real de usuários inocentes.
Revisão do OSArmor
O OSArmor é compatível com todas as versões recentes do sistema operacional Microsoft Windows. O aplicativo precisa ser instalado antes de poder ser usado. O instalador em si está limpo e o programa é iniciado logo após a instalação.
A interface é básica neste momento. Ele exibe informações da sessão sobre o número de processos bloqueados, o último processo bloqueado e a data e hora que ocorreram.
Você não pode fazer nada além de abrir a pasta de logs ou a configuração. Os usuários iniciantes podem querer abrir a configuração primeiro, pois ela lista todos os recursos de segurança suportados pelo OSArmor.
A maioria das opções de proteção está ativada por padrão. A lista é bastante longa, aqui está uma pequena lista de interessantes:
- Bloqueie a execução de extensões pif, com e duplo arquivo.
- Bloqueie o malware espalhado por USB.
- Evite modificações "importantes" no sistema via bcedit.exe.
- Bloqueie a execução direta de scripts e arquivos exe de arquivos.
- Impedir que o regsrv32 execute scripts remotos e / i: parâmetro.
- Bloqueie processos executados a partir de wscript.exe, cscript.exe, mshta.exe e wmic.exe.
- Bloqueie o desvio da política de execução e o estilo da janela oculto no PowerShell.
- Bloqueie downloads remotos de URL na linha de comando.
- Bloqueie a execução direta do código JavaScript e VBscript.
- Limite os arquivos do Windows Screensaver à pasta Windows.
- Bloqueie a execução do schtasks.exe.
As únicas opções que não estão habilitadas bloqueiam a execução de processos não assinados dos applets locais AppData, Roaming AppData, CommonAppdata e Painel de Controle.
O programa vem sem o arquivo de ajuda, o que o torna uma ferramenta para usuários avançados. Ele é executado silenciosamente em segundo plano na maior parte e grava todos os processos que ele bloqueia nos arquivos de log diários.
Os arquivos de log são um histórico de processos bloqueados e são a única opção para solucionar problemas. Os logs listam data, hora e processos, bem como regras que impediram a execução do processo.
Uma das principais falhas do OSArmor é que ele vem sem a lista de permissões. Você só pode desativar um recurso de proteção se perceber que processos legítimos estão bloqueados pelo aplicativo.
O programa precisa de uma lista de permissões diretamente e de uma interface que lista todos os processos bloqueados diretamente, para que você possa colocar certos processos bloqueados facilmente.
Palavras finais
O OSArmor 1.0 é um programa de segurança promissor para Windows que bloqueia atividades que são frequentemente abusadas por malware e outros softwares indesejados. A falta de controle sobre o que é bloqueado é a principal fraqueza do programa neste momento.
Uma opção para exibir um prompt (permitir ou negar execução, pesquisa on-line) seria útil, e uma lista de permissões também precisa ser implementada para que falsos positivos possam ser abordados sem a necessidade de desativar completamente um recurso.