ThreatFire, bezplatné behaviorální antimalware, zatěžuje paměť počítače mnohem více, než kolik přiznává. Na plně vytíženém počítači se spoustou spuštěných procesů to mohou být až stovky megabajtů. To je škoda, protože jinak je to výborný všestranný bezpečnostní nástroj.
ThreatFire běží ve Windows jako služba — ve správci úloh se zobrazuje jako TFService.exe. Tváří se skromně a nenáročně: vezme si pro sebe jen nějakých 13 až 14 megabajtů virtuální paměti. (Ve správci úloh se pod tím pojmem rozumí virtuální adresní prostor procesu přidělený, ať už je namapován do paměti fyzické, anebo odstránkován na disk.) Jenže vedle toho se instalací ThreatFire zvedne paměťová náročnost i všem procesům ostatním. Sice jen o několik megabajtů každému, ale když to posčítáte…
ThreatFire patří do stáje australské společnosti PC Tools. Ti je nevyvinuli, nýbrž před několika lety koupili (předtím se jmenovalo CyberHawk). PC Tools poskytují ThreatFire bezplatně jako nástroj samostatný, anebo jej integrují do svých nástrojů placených. Díky němu se placené nástroje PC Tools umisťují vysoko ve schopnosti zachytit „hrozby nultého dne“, tedy hrozby, pro které antivirové laboratoře ještě nevydaly „otisk“, podle něhož by hrozbu zachytil i obyčejný antivirový skener. Bez ThreatFire by nástroje PC Tools byly jen druhořadými.
ThreatFire chrání počítač čistě analýzou chování procesů. Nestará se o to, jaký soubor jste si uložili na disk, dokud jej nespustíte. Teprve když jej spustíte, ThreatFire na proces dohlíží, a jestliže se proces chová příliš podezřele — například se pokusí potají připojit k internetu, nebo se nějak „zavrtat“ do systému, ThreatFire proces přeruší a zobrazí varování. Jen jestliže v tu chvíli proces rozpozná podle své databáze, rovnou jej odstaví do karantény. Když jej ještě nezná, ponechá rozhodnutí na vás: pustíte proces dále, anebo nepustíte? Poskytne k tomu poznatky o tom, o co se proces pokusil, a nabídne odkazy do internetu, kde se můžete dozvědět více.
Nebezpečnost procesu ovšem dokáže vyhodnotit jen uživatel dobře znalý, zatímco uživatel neznalý bude hledět na varování a nevědět. Tím se však ThreatFire v zásadě neliší od jiných nástrojů snažících se uspět v obraně před útoky „nultého dne“. Když jiný antivir ohlásí útok na základě citlivě nastavené heuristiky, také zůstane nakonec na uživateli, aby ten posoudil, zda poplach je planý, anebo opodstatněný…
O ThreatFire se obvykle píše, že je míněno jako doplněk tradičních antivirů, že je další vrstvou ochrany, a PC Tools se snaží o to, aby ThreatFire dokázalo běžet na počítači společně s nejčastěji užívanými antiviry anebo firewally jiných výrobců, zejména těmi bezplatnými, které nebývají proti útokům „nultého dne“ nejúčinnější. ThreatFire nicméně lze užívat i samostatně, a pro zkušeného uživatele je to tak možná nejlepší.
Tvrzení o tom, že ThreatFire je nenáročné na zdroje počítače, však bohužel nejsou docela pravdivá… Instalace jakéhokoli bezpečnostního doplňku si ovšem vezme své — jak co do paměti, tak spotřebovaného výkonu počítače. Jak je na tom ThreatFire?
Náročnost na paměť
Instalaci 32bitových Windows XP jsme vyčistili od všeho nadbytečného, až jsme dosáhli toho, že po naběhnutí Windows (a po jejich „uklidnění“) bylo obsazeno pouhých 160 MB RAM (poté, co doběhl proces wuauclt.exe, jenž se sám běžně uzavírá až několik minut po náběhu Windows).
Pak jsme nainstalovali ThreatFire. Za jinak stejných podmínek se tytéž Windows po náběhu „uklidnily“ na obsazených 266 MB RAM. Rozdíl s každým dalším spuštěným procesem dále narůstá. Při náročnosti dnešních aplikací — stačí mít z internetu otevřeno mnoho oken nebo záložek, a k tomu ještě další aplikace — se na počítači s pouhým 1 GB RAM ThreatFire snadno přičiní o to, že fyzickou paměť vyčerpáte a počítač se zpomalí odkládáním na disk. Ovšem máte‑li v počítači gigabajtů více, může v něm být místo i pro ThreatFire…
Spotřebovaný výkon
Přítomnost ThreatFire se nejvíce projevuje při spouštění nových procesů (aplikací) a poněkud i při jejich zavírání. Při běhu aplikace je ThreatFire téměř v klidu — občas si vezme nějaké to procento výkonu při přístupu aplikace na disk nebo k síti.
Na prvotní náběh Windows XP do obrazovky přihlašovací nemá ThreatFire kupodivu vliv — a pokud nějaký, pak schovaný do zaokrouhlení na vteřiny. Jiné je to po přihlášení uživatele. Tato část náběhu Windows až do jejich „uklidnění“ se může protáhnout až na dvojnásobek. Spouští se toho mnoho a ThreatFire má plno práce všechno prověřovat.
Náběh jednotlivých aplikací se prodlouží o procenta až desítky procent. Tu o vteřinu déle, tu o několik vteřin, podle aplikace, i podle rychlosti počítače a snad i počtu jader procesoru. Sama práce běžné aplikace však ovlivněna v zásadě nebude. Skóre počítače v PCMark05 se instalací ThreatFire snížilo o méně než o jedno procento.
ThreatFire lze snadno dočasně pozastavit (suspendovat), a to pomůže při některých instalacích, aby se do nich „nepletlo“; suspendování však neposlouží výrazně ke snížení zátěže systému, a ke snížení obsazení paměti už vůbec ne. ThreatFire totiž zůstává v systému „zaháčkovaný“ a přístupy ke všemu citlivému chodí nadále přes něj, jen je nebude vyhodnocovat. Jinak by to ani udělat nešlo.
Nakonec si každý musí rozhodnout, zda mu ubraná paměť a trochu delší náběh aplikací stojí za to. Na počítači s vícejádrovým procesorem a s několika gigabajty RAM nejde nakonec o tolik, jako na počítači slabším.
Do rozhodování o tom, zda užít toho nebo onoho bezpečnostního nástroje, anebo třeba žádného, vstupuje jako další činitel i míra ostražitosti, zkušenosti i rozumu uživatele, a povaha toho, co na počítači běžně dělá. Malwaru se totiž lze účinně vyhýbat i zodpovědným chováním.