Redaguoti HIPS taisyklė

Pirmiausia žr. HIPS taisyklių tvarkymas.

Taisyklės pavadinimasvartotojo pasirinktas arba automatiškai sukurtas taisyklės pavadinimas.

Veiksmasnurodomas veiksmas – Leisti, Blokuoti arba Klausti – kuris turi būti atliekamas, kai tenkinamos nustatytos sąlygos.

Susijusios operacijos – turite pasirinkti operacijų tipą, kuriam bus taikoma taisyklė. Taisyklė bus naudojama tik šio tipo operacijoms ir pasirinktam tikslui.

Įjungta – išjunkite šį jungiklį, jei taisyklę norite išlaikyti sąraše, bet nenorite jos taikyti.

Registravimo svarbumasjei suaktyvinsite šią parinktį, informacija apie šią taisyklę bus įrašyta į HIPS žurnalą.

Pranešti vartotojuimažas iškylantysis langas parodomas apatiniame dešiniajame kampe, jei paleidžiamas įvykis.

 

Taisyklė sudaryta iš dalių, kurios apibūdina sąlygas, įjungiančias šią taisyklę:

Šaltinio programos taisyklė bus naudojama, tik jei įvykį paleidžia ši (šios) programa (-os). Išskleidžiamajame meniu pasirinkite Konkrečios programos ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visos programos ir pridėti visas programas.

Failaitaisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkretūs failai ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visi failai ir pridėti visus failus.

Programostaisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkrečios programos ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visos programos ir pridėti visas programas.

Registro įrašaitaisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkretūs įrašai ir spustelėkite Pridėti, kad įvestumėte rankiniu būdu, arba spustelėkite Atidaryti registro rengyklę, kad pasirinktumėte raktą iš registro. Be to, išskleidžiamajame meniu galite pasirinkti Visi įrašai, kad pridėtumėte visas programas.

note

PASTABA.

Kai kurios tam tikrų taisyklių iš anksto HIPS nustatytos operacijos negali būti užblokuotos ir yra leidžiamos pagal numatytuosius nustatymus. Be to, ne visos sistemos operacijos yra stebimos HIPS. HIPS stebi operacijas, kurios gali būti laikomos nesaugiomis.

Svarbių operacijų aprašai:

Failų operacijos

Naikinti failą – taikomoji programa prašo leidimo naikinti tikslo failą.

Rašyti į failą – programa prašo leidimo rašyti į tikslo failą.

Tiesioginė prieiga prie disko – programa bando skaityti arba rašyti į diską nestandartiniu būdu, apeidama įprastas Windows procedūras. Taip gali būti modifikuojami failai netaikant atitinkamų taisyklių. Šią operaciją galima atlikti, kai kenkėjiška programa bando išvengti aptikimo, atsarginio saugojimo programinė įranga bando padaryti tikslią disko kopiją arba skaidinių tvarkyklė bando pertvarkyti disko tomus.

Diegti visuotinę trikčių gaudyklę – susijusi su funkcija SetWindowsHookExMSDN bibliotekos.

Įkelti tvarkyklętvarkyklių diegimas ir įkėlimas į sistemą.

Programų operacijos

Derinti kitą programą – derinimo modulis prijungiamas prie proceso. Derinant taikomąją programą galima peržiūrėti ir pakeisti daugelį jos veikimo detalių ir prieiti prie jos duomenų.

Sustabdyti kitų programų įvykiai – šaltinio programa bando perimti įvykius, nukreiptus į konkrečią programą (pavyzdžiui, klaviatūros paspaudimų registravimo programa bando įrašyti naršyklės įvykius).

Nutraukti / laikinai sustabdyti kitą taikomąją programą – laikinai sustabdo, tęsia arba nutraukia procesą (galima prieiga tiesiai iš „Process Explorer“ arba iš procesų polangio).

Pradėti naują taikomąją programą – naujų programų arba procesų paleidimas.

Modifikuoti kitos programos būseną – šaltinio programa bando rašyti į tikslo programos atmintį arba vykdyti kodą jos vardu. Ši funkcija gali būti naudinga norint apsaugoti svarbią programą konfigūruojant ją kaip tikslo programą taisyklėje, blokuojančioje šios operacijos naudojimą.

note

PASTABA.

Neįmanoma pertraukti procesų operacijų 64 bitų „Windows XP“ versijoje.

Registrų operacijos

Modifikuoti paleidimo parametrus – visi parametrų, nurodančių, kurios programos bus vykdomos paleidžiant „Windows“, keitimai. Jie gali būti aptikti, pavyzdžiui, ieškant Run rakto „Windows“ registre.

Naikinti iš registro – registro rakto arba jo reikšmės naikinimas.

Pervardyti registro raktą – registrų raktų pervardijimas.

Keisti registrą – kuriamos naujos registro rakto reikšmės, keičiamos esamos reikšmės, duomenys perkeliami į duomenų bazės medį arba nustatomos vartotojo ar grupės teisės registro raktams.

note

Pastaba

Įvesdami tikslą galite su tam tikrais ribojimais naudoti pakaitos simbolius. Vietoje konkretaus rakto registro kelyje galima naudoti simbolį „*“ (žvaigždutę). Pavyzdžiui, HKEY_USERS\*\software gali reikšti HKEY_USER\.default\software, bet ne HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* yra negaliojantis registro rakto kelias. Registro rakto kelias, turintis „\*“, reiškia „šis kelias arba bet koks kelias bet kuriame lygyje už šio simbolio“. Tai vienintelis būdas naudoti failų tikslų pakaitos simbolius. Pirmiausia bus įvertinama konkreti kelio dalis, tada kelias už pakaitos simbolio (*).

warning

Įspėjimas

Jei sukursite labai bendrą taisyklę, bus parodytas įspėjimas apie šio tipo taisyklę.

Šiame pavyzdyje parodysime, kaip uždrausti nepageidaujamus konkrečios programos veiksmus:

1.Pavadinkite taisyklę ir pasirinkite Blokuoti (arba Klausti, jei norite pasirinkti vėliau) išskleidžiamajame meniu Veiksmas.

2.Įjunkite jungiklį Pranešti vartotojui, kad pranešimas būtų rodomas kaskart pritaikius taisyklę.

3.Pasirinkite bent vieną operaciją dalyje Aktualios operacijos, kurioms bus taikoma taisyklė.

4.Spustelėkite Kitas.

5.Lango Šaltinio programos išskleidžiamajame meniu pasirinkite Konkrečios programos, kad naują taisyklę pritaikytumėte visoms programoms, kurios bandys atlikti kurią nors iš pasirinktų programų operacijų.

6.Spustelėkite Pridėti ir ..., kad pasirinktumėte konkrečios programos kelią, ir paspauskite Gerai. Jei norite, įtraukite daugiau programų.
Pavyzdžiui: C:\Program Files (x86)\Untrusted application\application.exe

7.Pasirinkite operaciją Rašyti į failą.

8.Išskleidžiamajame meniu pasirinkite Visi failai. Taip užblokuosite ankstesniu veiksmu pasirinktos programos (-ų) bandymus įrašyti į failus.

9.Spustelėkite Baigti, kad naują taisyklę įrašytumėte.

CONFIG_HIPS_RULES_EXAMPLE