木马病毒天天变种天天出新，使得传统的反木马病毒技术可能跟不上木马病毒的脚步。在这个条件下，衍生出了更为先近的反木马病毒技术：主动防御。在目前的反木马病毒产品中，也些也含有主动防御功能，如ZoneAlarm7和卡巴斯基6、7等。

今天本文所要介绍的，并非这些大块头软件，而是一款小巧却功能强大的国产软件：反木马病毒专家(Kav7Win)。确切的说，应该是它其中的一个功能模块：进程防火墙(Kav7win - Process Firewall)，为叙述简明，下文简称其为PF(Process Firewall)。

PF拥有强大的应用程序执行监控功能，所谓监控，顾名思义，监视、检测程序启动操作，并可对这个行为进行控制。PF在运行后，系统所有程序的执行，都将在她的掌握之中，任何程序的启动，都会经过她的检测，如图1所示。

由图中可以很明了的看到将要启动的程序路径、文件图标、拦截原因、较验值等。这时，只要用户在点击“允许”铵钮后，程序才会被执行。

PF具有黑白名单功能，这是非常实用的，对于同一个程序可以设定规则，或加入白名单，或加入黑名单，如图2、3所示。

被列入“白名单”的程序，在未来执行时，将不会再弹出图1所示的对话框，而会直接运行；被列入“黑名单”的程序，在执行时，同样也不会再弹出图1所示的对话框，不同的是，程序会被直接阻止执行。不管是直接放行，还是直接阻止，PF都会将这些行行一一记录，以备用户随时查看，如图4、5所示。

也有会有用户担心，如果一个已经加入“白名单”的文件，被木马或病毒替换或感染了，那么PF不就拦截不到它了吗？不必担心，设计者已经为我们考虑到了这一点：从上面的界面中可以看到，在“白名单”和“黑名单”中，都各有一个“较验值”的字段，这个较验值是用来标明程序身份的，如果文件被替换或感染，较验值就会发生变化，变化后的文件在启动时，PF将不理会它是否在白黑名单中，而重新给出图1所示的提示，重新提示时的“拦截原因”也会与上面不同,如图6所示。

鉴于篇幅关系，本文暂不对其它辅助功能做进一步介绍了，黑白名单的手动设置、备份，拦截记录的保存，程序暂停、启用等等，操作都非常简单，相信大家都能在实际使用中一触即通。

同类软件，例如卡巴，在实现主动防御上，不担实现了程序执行监控，同时还有注册表读写、文件读写等多项目功能。起初，本人也曾认为卡巴更厉害，实现的功能多。PF为什么不实现其它监控呢，怀着这个疑问，笔者曾对本软件的开发商进行了简单的采访，对本人疑问进行答复的是81915.com的wing，反木马病毒专家及进程防火墙的主力开发者。

“我们开发产品是站在用户角度考虑的，注册表、文件读写监控，是我们有意不去实现。原因：其一、注册表、文件读写，都是在程序运行后发生的，如果拦截了程序，这两种行为都不可能出现，反之，如果程序已执行，必定不是单单的读写注册表和文件，这时再去拦截这两项已没有太大的实在意义。其二、从技术角度来讲，拦截注册表和文件读写，需要对系统极常用的函数进行过滤，这会极大的降底系统性能，保守的讲，会对系统性能有20%-30%的影响，对于任何一个用户，这都是不想看到的结果。要性能，也要安全，做简单、实用、好用、管用的反木马病毒产品,这是我们的基本理念。” wing 如是说。

自此，已可看出，PF的最大特点是：实用、简单、为用户着想，而在这一刻，本人也成了此软件的忠实用户。