作甚@ZUOSHEN.COM

上次说了COMODO3 防火墙安装方面的事情，今天开始唠叨COMODO防火墙中相当重要的Defence+部分的使用。其实我也是个半吊子，只不过上面的英文字儿我看着稍微明白点，仅此而已～呵呵。需要转载的话请华丽的遵循CC协议。今天小宇宙爆发一口气写完了，不排除里面有错误，发现请留言～呵呵…

啥是Defence+呢？换个好理解的，它就是相当于卡巴斯基的主动防御模块PDM，或者是常见的HIPS程序实现的功能。那是什么呢？英文那说法好像叫Behavior-based，就是基于行为判断的防御系统吧。其实所有类似这样的东西都是”人-Based”，关键还是看你的选择了，你选正确了，则面对有害程序时可以安然无恙使用正常程序也一样顺畅；选错了，那就是来了病毒木马也形同虚设没准正常东西也用不了。

所以下面的这些内容稍微有点复杂，对我而言也复杂…咱多交流…以后有时间会根据COMODO3的帮助文件将一些重要的部分翻译过来方便大家～呵呵。

上次那篇文章后df朋友问了Defence+规则的具体配置，我还专门找来着有没有个专门写规则的位置…无奈此时我的半吊子病发作，还真找到可以方便导入规则的地方…也没有什么现成的规划总体规则的地方，不过有替代方案，下面慢慢说。

首先我们在COMODO3的主界面中点那个醒目的”Defence+”图标，就一个盾上面一加号那个，然后…Common Tasks…啥是Common的Task？不伟大不高级不复杂基本不用觉得害怕的部分呗…这部分主要介绍了…

View Defence+ Events 查看你在使用中遇到的报警啊提示啊弹出对话框啊总之一切Defence+提示的做出的各种信息和决定们（这对于翻旧账很有用^^)

View Active Process List 这不用说了吧，看现在活动的进程有哪些，不顺眼的终止它，光终止还不过瘾还可以Terminate and Quarantine终止然后隔离。

My Protected Files 我的保护文件 这是啥呢？按那行小字的意思就是说COMODO允许用户选择特定的文件或者目录进行保护，防止未授权的更改。比如有些目录默认的COMODO并没有保护到，或是你特别对某些文件目录有”关照”，那么可以在里面选择。

My Trusted Software Vendors 如果你对某个地方出产的东西都特别”信任”，那么可以添加指定的厂商到信任列表之中。那么以后只要具有这个地方的数字签名的产品就都按安全的可信的处理了～不过我建议是不用添加…信任的越少越安全…

My Quarantined Files 隔离的文件，由于某种原因…在这里你可以查看已经被你隔离的文件们，错误隔离的可以恢复，确实有问题那就让它在里面呆着吧。点Purge则会验证列表上的文件是否都存在有没有已经被咔嚓了但是在这里仍然有记录的～呵呵。同样的选项在上面几个地方也有～

My Protected Registry Keys 我要保护的注册表键值 这个同理，有些注册表键值属于COMODO没有默认保护到的但是你认为很重要的，可以在这里面添加之。

My Pending Files 这里是等待你再审查的文件…比如有COMODO不认识的文件然后你也没给出明确的怎么办的答复，这些东西都在这列着等着你～呵呵。

My Protected COM Interfaces 保护的COM接口 这里也如上面一样可以自己添加。

My Own Safe Files 这里可以管理你认为安全的文件们，同时还可以将你认为安全的或是XX的文件提交到COMODO进行验证。

嗯，Common Tasks部分也就是这样了，大部分都是让添加文件添加键值的，其实日常使用中基本用不到，为什么呢？我个人是喜欢看情况处理，而不是提前都设定好了规则，一来不灵活二来没看到具体行为怎么做决定呢～除非是有些你特别特别肯定外加实在是对点对话框嫌麻烦的情况，那个时候再酌情添加。

接下来看看Advanced部分吧。这里要接触到的就是COMODO意义上的”规则”了。

第一项听名字就很牛X，Computer Security Policy，电脑安全策略。听着估计迷糊，如果你联想到电脑上常用的”组策略”可能好理解点。就是给诸位文件们安排下他们能干的不能干的不许干的事情。我觉得吧，这部分更多的也是在我们复查review之时有用，比如你有嗷嗷点”allow”的习惯忽然觉得不能这么着，哪儿去改你已经做出的决定呢?来这里～呵呵。

这次还是以费尔为模特，因为现在正好我是用费尔搭配COMODO使用。由于我之前已经做出了关于它的选择，所以在这里可以看到关于它的条目。双击这个条目后出现一个小窗口，上面是程序路径，下面是针对这个程序的策略。第一个是采用预置策略，估计很少人用这个吧，我反正是喜欢见招拆招，所以Custom Policy。后面两项：”Access Rights”和”Protection Settings”，前者是权限设置，后者是保护设置。先看前面这个，打开的话会是这个样子，我觉得是一目了然：

可以看到里面每个项都有Ask，Allow和Block三种选择，除了”Run an executable”。这个是什么呢，就是允许它再运行另一个可执行文件。要知道这个可是很多木马经常使用的法子，就是执行它后它会自动释放另一个程序再执行之，然后那个程序再把释放它的这位删掉消除痕迹。所以，这个行为要么就问你了，要么就Block掉。呵呵。具体其他项都是干嘛的，我们后面再说。

第二项是Predefined Security Policies 预设安全策略。 这个是干什么用的呢，比如你执行一个安装程序，按默认的策略的话，里面的一大堆行为全是得等你过目的，不管是写注册表还是往敏感目录里面填文件。但是如果你确实知道你执行的这东西是安全的，那么这个步骤就让人觉得很烦了。怎么办呢？我们可以在遇到这类提示是选择预设的规则中的安装程序规则（这个这里没有=。=），对于你信任的程序，还可以选择Trust Application~这里主要是列出了各个预设策略里面具体的权限以及保护项目，你也可以点击窗口右侧的Add…来添加你自己的预设规则以适应多变的情况。话说这里可能是最接近传统意义上”规则”的地方了～呵呵。我的意见是不要轻易的给任何程序Allow，而是大部分Ask…尽管这样会有些麻烦…

第三项是Image Execution Control Settings，映像执行控制设置。这是干啥的，我Google了一下这里的解释比较好些～呵呵。COMODO针对这个也可以防护。控制有3个等级，Disable禁用，Normal是一般，也就是在在可执行文件被调用到内存前进行干预，并且没有列在旁边那个要检查的文件列表选项卡中的文件会被排除（如果你去旁边那儿看，里面是*.*…呵呵）。如果选择了Aggressive的话，则除了刚才那几项之外，可执行文件的”预读”及”缓存”动作也会被检查～

第四项是Defence+ Settings，也就是Defence+的防御机制设置了。防护的全面与否，安全等级高与低，直接影响到你的鼠标左键的寿命(呵呵，因为防护的越全面，需要你过问的地方也就越多）…

里面俩选项卡，第一个是General Settings通用设置…首先是Defence+安全等级设置。左侧滑块选择安全等级，右侧则是针对这个等级的解释。安全等级从上到下依次降低…

最高级别是Paranoid… 也就是疑神疑鬼型…只要是预置规则中没提到的任何动作都得经过你同意…呵呵…

之后是Train with Safe 这个是我推荐的级别。可以减少部分在使用中的对话框提示。因为COMODO可以自动学习并为能识别的”安全程序”创建规则，剩下的则弹出对话框询问用户。

接下来是Clean PC Mode 这个则是所有可识别的安全程序都会被自动学习，所有在固定驱动器上的可执行文件都假定为安全的，但是在”My Pending Files”之中的文件不在此列。新创建的可执行文件也不认为是人干净的～这个就比上面那位就又少了些对话框…

然后是Training Mode，完全的训练模式。这个我认为需要在你对你的电脑安全极度自信完全干净的时候使用。这个级别会为所有的程序动作自动学习并创建规则。当然如果你的电脑确实干净，在初次装完COMODO后可以使用一会儿这个级别让COMODO学习一会儿，可以极大的减少以后使用中对正常程序的报警提示。

最后这个Disable就不说了吧…只想用COMODO的传统防火墙部分不想用这Defence+部分的就禁用它吧…推荐给那些已经使用了HIPS或者有比较霸道的杀毒软件的朋友…毕竟大家都太聪明了并不一定是好事…COMODO的这部分可以酌情关掉。

之后有个Keep an alert on screen for XXX seconds，这个和上面那个My Pending Files有关，凡是这个时间内你没有做出决定，那么这个提示就消失了，以后可以去My Pending Files里面查看。

下面有三个可以打勾的地方：

Trust the applications digitally signed by Trusted Software Vendors(后边这部分我猜得，因为如图所示后面的没显示。哈哈）这个就是”信任由可信的软件厂商签名的应用程序”。打上钩的话又可以少点对话框，但是我建议不选中，哪有准儿呢，还是信自己好点。

Block all the unknown requests if the application is closed(好吧这次我看帮助文件了，因为实在猜不到了=。=）这个就是当你的COMODO关闭之后，阻挡掉所有的未知请求。这个…基于安全考虑我们可以选中…但是我想有时候我们在遇到神奇的安装或者使用问题时候可能会想到关掉COMODO再试试，如果打上这个勾的话，就算是关了也没用的，照样Block～呵呵。

Deactivate Defence+ permanently(Requires a system restart），这个是永久关闭Defence+的功能，需要系统重启。如果你有其他HIPS程序使用中，可以选择这个选项…COMODO就变成一个纯传统防火墙继续保护你～

啊…General Settings部分暂时就这样了…下面看隔壁选项卡Monitor Settings，要注意你在这里做出的任何改变是会影响到所有地方的。以下有部分翻译自COMODO的帮助文件以免由于我水平所限给大家传达了错误的信息…呵呵）。配的图片主要起提示作用方便各位对号入座，可别按着上面的勾勾用啊～我还没选呢～呵呵。

Interprocess Memory Access 有害程序通过向内存中插入有害程序来进行各种各样的攻击，其中包括记录的你的击键动作，修改被入侵的程序的行为，通过从一个进程向另一个进程传送机密信息的方式偷窃机密信息。把这个选中的话COMODO就会在当一个程序试图修改分配给另一个应用程序的内存空间时报警。

Windows/WinEvent Hooks Windows/WinEvent挂钩。在微软的操作系统里面，挂钩就是一种可以在一个事件（信息，鼠标动作，键盘击键等）到达它们要去的应用程序之前进行干预的功能…当然，在正常的软件开发中这是个很有用而且重要的功能，但是也是由于它的这种特性，也会被坏人所利用，比如记录你的所有击键记录，鼠标运行轨迹，或是远程控制你的电脑等等。把这个选中的话COMODO会在每次一个未知程序执行一个挂钩时报警。

Device Driver Installations 设备驱动安装。这个好明白，比如我们在往电脑上插的硬件设备时候为了让它正常工作都会安装驱动，不管是系统自动的还是用自带的。当然，驱动也被广泛用来安装牛皮藓类程序，比如过去那家喻户晓的那几位～选中这个选项COMODO会在一个陌生程序试图往电脑上安装驱动时报警。

Loopback Networking 环回网络，知道这个名字是在Norton的产品中…呵呵…环回网络就是你的电脑内的内部通讯。任何通过环回网络发出的数据都会立即收到～环回网络攻击可以通过发送大量TCP/UDP请求使你的电脑崩溃…选中这个选项COMODO会在一个未知程序试图使用环回网络时报警。

Process Termination 进程终止。这个地球人都知道吧。我们在对付各种”失去响应”的程序时都会用到终止进程～呵呵。这也是有害程序们常用的手段，比如试图终止安全软件进程等等…选中这个COMODO会在一个未知程序试图终止进程时报警。

Windows Messages Windows信息。选中这个COMODO会在一个未知程序试图发送特殊Windows信息来修改另一个程序时报警（比如使用WM_PASTE命令）

DNS Client Service DNS客户端信息 选中的话COMODO会在一个程序试图访问Windows DNS服务时报警。这种行为可以成为DDOS攻击的一种手段。

下面还有一些应对不同的威胁时候的选项可以酌情选中：

Objects To Monitor Against Modifications 监视并阻止修改的对象(那些你在上面的”My Protected Files，My Protected COM Interfaces，My Protected Registry Keys中添加的东西）：

Protected COM Interfaces 保护COM接口

Protected Registry Keys 保护注册表键值

Protected Files/Folders 保护文件/文件夹

Objects To Monitor Against Direct Access 监视并对抗直接访问。啥是直接访问？就是从你的存储设备中直接读取数据，或是往这些设备里面直接写入数据的行为，感染其他可执行软件的行为。所以这是相当重要的部分，它们包括：

Physical Memory 物理内存 有时候系统可能存在某些Bug导致易于被有害程序攻击。比较典型的例子就是缓冲区溢出攻击。就是一个设计用来在内存中的一小部分空间中存储数据，但是它允许Caller提供过量的内存并覆盖它自有的结构。这个可以被有害程序用来强迫系统执行它的代码。

Computer Monitor 电脑监视 有些间谍软件会监视用户的互联网浏览，显示不请自来的广告或是将各种营销链接重定向到间谍软件制造者哪里。

Disks 磁盘 很多有害程序都是被设计用来摧毁用户在硬盘上的数据或是往硬盘上面塞满垃圾信息的～选中这个选项就可以避免这种情况发生。

Keyboard 键盘 特殊的软件（键盘记录程序）可以抓取用户的击键行为。

启用上面这些选项后，在桌面右下角会有相关的提示：

啊…终于告一段落…呼～～～ :mrgreen: 

相关文章

• COMODO Firewall Pro 3.0.25.378 Released (0)
• Cloud，云，云计算，云XX (2)
• COMODO Firewall 3.0.16.295 released (6)
• COMODO Firewall Pro 3.0.14.276 has been released! (0)
• COMODO防火墙 3.0.10.238 Beta放出！COMODO Firewall Pro 3.0.10.238 BETA Released (0)