【修订】打磨Comodo，做有意义的事儿

第一部分 Comodo Defense+ 简介 天地尚不能久，而况於人乎？ 1. Defense+ 简介 Comodo Defense+ 是一个典型的HIPS(Host Intrusion Prevention System)，中文名是主机入侵防御系统，还可以叫系统防火墙。传统防火墙控制的是网络通讯，而系统防火墙控制系统行为。HIPS 可以拦截恶意软件的危险行为，然后根据规则直接阻止，或者通过提示窗口询问用户。 HIPS 由于不依赖特征码，相对于传统的杀毒软件，在对付0day 威胁、未知病毒上有巨大的优势。HIPS 可以阻止杀毒软件无法检测的病毒进入你的系统，可以阻止病毒的运行，即使病毒运行，HIPS还有机会可以阻止病毒对系统的破坏行为，这是杀软做不到的。 Comodo Defense+ 是和SSM、ProSecurity、EQSecure类似的HIPS，完全可以作为整个安全体系的第一道防线，通过规则，主动拦截各种可能的入侵。 Defense+ 也有不足，尽管Defense+ 已经使用了尽量浅显易懂的语言，警告提示还是要求用户有一定的系统知识和安全知识，才能做出正确的选择。普通用户需要一段时间的学习才能掌握和使用 Defense+ 。从易用上，Defense+ 还不够简单、不够智能，不够成熟；从功能划分和规则定制上，Defense+ 还不够灵活和细腻，还需要一定的时间去改进。 目前，通过内置的白名单和Clean PC Mode，普通用户通过学习是可以驾驭Defense+ 的。 Defense+ 不能取代所有的安全软件，完整的防御体系应该由三部分组成： Prevention(防毒)、Detection(杀毒)、Cure(清毒) 2. Defense+ 初步：规则设置界面 Defense+ 的设置界面，Security Policy 是安全策略，这里用规则代替，比较易懂： Defense+ -> Advanced -> Computer Security Policy (Defense+ 规则) 用户当前的所有Defense+规则都可以在这里找到和设置 Defense+ -> Advanced -> Predefined Security Policy (Defense+ 预设规则) 用户可以设置预设规则，一个预设规则可以分配给多个有类似行为的程序。(规则复用) 图1 Computer Security Policy (计算机安全策略) 打开规则设置界面，可以看到程序名和规则名。 一个程序组的所有成员可以继承使用同一种规则。 一个预设规则可以分配给多个程序(规则复用)。 图2 Computer Security Policy Application System Activity Control (程序系统行为控制) 双击一个程序，程序系统行为控制(前面讲过HIPS 就是对程序的各种行为进行控制) 这里可以使用预设规则和自定义规则。 规则由两部分组成：Access Rights(访问权限)和Protection Settings(自我保护设置) 简单的说访问权限就是行为控制，对程序的子程序和操作对象进行控制。 自我保护就是对其它程序的行为作用于本程序进行控制，对自身进程完整性的保护。 图3 Application System Activity Control Protection Settings(自我保护设置) 要保护杀毒软件进程不被非法终止，可以设置杀毒软件程序规则 设置Process Terminations (进程终止) Active为 Yes，来监视和保护进程终止。 图4 Protection Settings(自我保护设置) Access Rights(访问权限，行为控制) Access Rights 里的Access Name就是具体的行为，通过Default Action 可以进行控制。 英文原版： 图5e 我翻译的中文版： 图5c 可以看到能够控制的行为有15项之多，Comodo将这些放到一个界面里来设置，不需要来回切换，很方便和直观。  Run an executable  Interprocess Memory Access  Windows/WinEvent Hooks  Process Terminations  Device Driver Installations  Window Messages  Protected COM Interfaces  Protected Registry Keys   Protected Files/Folders  Loopback Networking  DNS Client Service  Physical Memory  Computer Monitor  Disks  Keyboard

第二部分 Comodo Defense+ 规则架构

1. 工欲善其事，必先利其器

要完全释放Defense+的威力，必须自己动手设置规则。预设规则首当其冲。
预设规则是Defense+规则的精华，我们手中的名剑，杀敌的利器，战略武器库。
Defense+ 默认的预设规则，Trusted 太松，Limited 太紧，不够和谐，我们要做的就是完善它。我们要做的就是使大部分程序可以用预设规则一步搞定，这样就会减少提示，让普通人也可以使用 Defense+ 。
增加和改造预设规则是自定义规则的关键一步。


知己知彼，百战不殆
2. Defnese+ 的规则优先级

在设置规则前，要搞清楚规则的优先级。
Defense+ 的规则优先级是从上至下匹配，如果两条精确匹配规则(包括例外规则)都和行为匹配，上面第一条精确匹配规则(包括例外规则)被执行，规则匹配结束。如果不存在精确匹配规则，Defense+ 将弹出警告窗口。等待用户选择后，结束。


什么是精确匹配规则？
对于访问权限，是当前程序操作其它子进程和对象，需要匹配当前程序和它操作的对象。然后再检查默认行为(Default Action)。
只有Allow和Block 是精确匹配规则，Allow和Block的权限高于Ask。Ask会被直接忽略。

对于自我保护，当前程序是其它进程的操作对象，需要检查目标程序是否为本程序，保护类型(Protection Type)和保护Active(Yes); 没有自我保护规则的程序直接被忽略。目标的自我保护规则优先于其它程序的访问权限规则。


特殊的精确匹配规则(例外规则)
对于访问权限，本程序Modify... 里具体的Allow和Block规则，优先于外面的Ask、Allow、Block全体规则。Modify... 内Allow 的优先级高于Block。Modify里的规则属于例外规则。

对于自我保护，本程序Modify...里具体的Exceptions规则，优先于外面的Active规则，Exception 例外程序，不受自我保护规则的制约。

例外规则也遵守从上至下匹配的原则。
如果两条规则都和行为匹配，那么只有上面的精确匹配规则(包括例外规则)被执行，下面程序的例外规则将被忽略。

All Applications * 很重要，代表所有程序，它也遵守规则流程，所以为了制定严格的所有程序规则，必须将它移动到最下面。All Applications * 会在特定的情况下会使用特殊的规则处理逻辑，非常重要。

例1 同一行为，Block Ask的优先级：
All Applications *，将 Run an executable设置为Ask
同时设置explorer.exe ，禁止explorer.exe 运行cmd.exe 。
#1 All Applications *    Run an executable Ask
#2 explorer.exe Run an executable Block

结果是：Defense+ 阻止cmd运行，而不会提示。 Block > Ask

例2 同一行为，Allow Ask的优先级：
All Applications *，将 Run an executable设置为Ask
同时设置explorer.exe ，允许explorer.exe 运行cmd.exe 。
#1 All Applications *    Run an executable Ask
#2 explorer.exe Run an executable Allow

结果是：Defense+ 允许cmd运行，而不会提示。 Allow > Ask

例3 两条规则都适合，由上至下匹配：
All Applications *，将 Run an executable设置为Block
同时设置explorer.exe ，允许explorer.exe 运行cmd.exe 。
#1 All Applications *    Run an executable Block
#2 explorer.exe Run an executable Allow

结果是：Defense+ 阻止cmd运行。

例4 两条规则都适合，由上至下匹配：
All Applications *，将 Run an executable设置为 cmd.exe Allow
同时设置explorer.exe ，explorer.exe Block。
#1 All Applications *   Run an executable Allow cmd.exe
#2 explorer.exe Run an executable Block

结果是：Defense+ 允许cmd运行。

例5 自我保护规则优先于其它程序的访问控制规则
设置 任务管理器taskmgr.exe可以结束一切进程，保护notepad.exe 不被结束。
#1 taskmgr.exe Process Terminations Allow 访问控制规则
#2 explorer.exe 没有自我保护
#3 notepad.exe 自我保护 Process Terminations Yes 自我保护规则

结果是：explorer 被结束，而notepad.exe 进程被保护。