Core Force (核心武力）玩家级的系統防护

Core Force (核心武力）玩家级的系統防护

 

这是关于＂圆一个长久以来的梦想＂的宣言：

      玩电脑多年以來，总是想在电脑的核心秘密上深掘。
      IBM PC推出后的几年，由于操作系统的复杂度还不算高，有一般电脑概念的玩家，都能在DOS或BIOS上有一番的作为。但隨著操作系统的日益复杂，現在除了要了解的系统结构变得庞大外，许多以往常用的探測門路也被封死了，所以以前如出入自家后门般容易的情境已不复存在，操作系统保了保护自己，已在我们与它之间筑起一道高墙，即使我們不是想搞破坏的，也一视同仁。
      操作系统变得庞大之后，其实也多了许多阴暗的角落，有些想有不法作为的份子，就充分运用这些系統的盲点，对那些无辜的系統使用者，硬逼到黑暗处＂蹂躪＂，或许是我的用字有些过分，但哪天你的系统变的缓慢或甚至跑不动的時候，系统开发商可能都不能替你挽救些什么。虽然刚刚我说我们核心部队的任务也是找这些阴暗角落，但是我们绝不是要在那里设计陷阱，而是让该处阳光普照。
      我想我们主张的工具(或称武器)就是Core Force吧，当然，这也是我自己假设的。工具如何不重要，重要的是順手，而且我们的思绪与创意不能受制于工具，或是说，哪时工具不适用了，我们还有调校工具的机会。这些都是我选Coreforth的原因，另外一个理由是，我太熟悉它了。
      現在只是个起头，我不知能走的路有多远，遇到的阻礙有多少，但这就是核心部队所以长征的理由：＂破除操作系统中的各种阴暗面，找回学电脑有趣的一面＂。


      分析：
      第一个由志愿的安全团队共同维护、编写、更新的防火墙．
      Core Force号称“第一套社群导向个人电脑安全方案”，写这篇文章时，所采用的版本为0.95.167，所谓community oriented ，不只是回报与分享而已，Core Force 在开发新功能与更新时，主要依据社群的回馈而定，整体而言，这套个人用的安全防护用的程序真的十分特别，在设定上拥有绝佳的弹性，但目前而言，我认为它特别到并不适用于一般使用者。

      在安装过程中，会遇到Windows 警告可能不相容及硬件安装的警示，之所以会如此，是因为Core Force 的设计设运作于kernel mode，网络部分则是藉由Core Force Network Driver中介于TCP/IP Stack 及 NIC Driver 之间，如此的设计是为了避免恶意兴为的躲避和欺骗。在官方网页的介绍中，虽然洋洋洒洒的列出了一系列功能，不过实际运作的概念较类似Firewall，但防御重点不仅是Network，也函盖了File 及 Registry，而程式执行的首页也说明了它是一套host-based Intrusion Prevention System (H-IPS)。虽然他并没有如杀软般即时对比档案特徵的能力，但是设定后，任何档案执行了可以的行为时都将会被阻止或询问，因此也不能说它所列出的各种设置夸大不实。

    图１　

      Core Force 的防御主要分为 System 及 Application 两个层面，可以对整个系统设定 Security Profile，或是仅针对单一程序，而 Security Profile 除了內含应用程序的识别信息、即时监控之外，最主要的成份就是 Policy，而也就是前面提到的 Network、File 及 Registry 三大防护，在程序中所採采用的名称为 Firewall、File System 及 Registry，可个别设置非常细微的权限，并决定符合此Policy 时要 Allow、Block 或 Ask，而 Policy 本身还可以继承另外一個 Policy 的设定，十分方便，对于初学者，也可以采用系统预设的 Security Level，也就是官方提供的 Policy 集合，分为 High, Medium, Medium-Low 及 Low 四个等级，你可以完全自订，或是先套用一组 Security Level 再增加自己的 Policy，比较特別的是，
      无论 Security Level 或是 Policy，都是由下往上的覆盖方式，也就是说当一个行为同时符合了多个Policy，会议最后一个Policy设定的动作为主，与多数防火墙产品采用的“第一符合条件”有所不同。

      即使是有相关经验的的使用者，恐怕都无法立即上手，对于一般使用者而言，这样的设计实在太过复杂，要做到完善的掌控，每个应用程序都要去设定各自的 Policy，虽然可以透过Shared Policies让多个程序共用，但还是需要逐一确定，而如此麻烦的另一個原因是它的询问界面不够友善，你只能將目前遇到的事件记忆，例如打开 Telnet 上 bbs.xxx.edu.tw，会出现如下询问界面，

    图２

      此时所谓的create a permanent rule，它就只会在 permission 中增加一条允许到bbs.xxx.edu.tw 的项目，你只能事后再进入管理介面调整为允许整个网段之类的，我是沒辦法这样一直玩下去啦，不知道它最后是会自己合并还是会因为目太多而爆掉。而如果你打算就只靠一个 System Security Profile (Global) 撑住，不管个別的程序设定，那其实就没有用他的意义了。有兴趣安装的朋友，我给个简单的整理，方便大家检查
      (System/ Application) Security Profile -> Security Level -> Policy -> (Firewall/File System/Registry) Permissions

      基于上述原因，我个人觉得Core Force 其实比较适合Server 使用，一來是不会安裝一些奇奇怪怪的程序，二來管理人员比较有如此细致的需求。就此刻而言，在无法大量吸引一般使用者的情況下，无所谓社群芸芸只是空谈，
      有网站提供的Application Profile便可略窥一二
http://force.coresecurity.com/index.php?module=forcecommunity
      不过一切都只是 Beta，对于将来我还是保持希望。

    资源方面．Core Force有两个进程
    核心程序LocalCpa.exe　约~10M
    PolicyDeveloper.exe　　为制定策略而用~5M，制定完毕可以关闭。
    总进程10M~15M的ＰＦ

  测试中Core Force ，反应灵敏，功能强大不低于Jetico，虽然都是英文，但却更容易理解。

  到此我也不清楚它到底该定义为防火墙还是ＨＩＰＳ，



      官网及下载...　

http://www.xdowns.com/soft/8/9/2010/Soft_57714.html

　　
http://force.coresecurity.com/