Defense+ est un module d’analyse comportementale. Il permet de surveiller certaines actions, comme la modification d’un fichier, l’ajout de données dans la base de registre ou encore l’accès aux périphériques comme le clavier ou l’écran.
Dès lors qu’une applications tente de faire une action surveillée, Defense+ alertera l’utilisateur afin qu’il lui indique quoi faire. L’utilisateur a alors deux choix, celui de bloquer la demande ou de l’autoriser.
Si l’utilisateur demande à bloquer l’action, l’application continuera de fonctionner, mais ne pourra jamais exécuter l’action bloquée.
Beaucoup d’actions étant surveillées, Comodo génère de nombreuses notifications et de demandes à l’utilisateur.
Pour éviter cela, il s’appuie sur une base locale et sur les serveurs Comodo afin de savoir si l’application en attente est indiquée comme sûre par les services de Comodo ou si elle est malveillante afin d’effectuer les actions nécessaires de façon automatique.
Lorsque l’application est inconnues de ces services, Defense+ peut effectuer une protection par refus en utilisant la Sandbox. Autrement dit, il lancera l’application dans la Sandbox afin d’éviter de demander quoi faire à l’utilisateur.
Sinon, il affichera une alerte pour demander à l’utilisateur que faire.