編輯 HIPS 規則

請先參閱 HIPS 規則管理。

規則名稱 – 使用者定義或自動選擇的規則名稱。

處理方法 – 指定在符合條件時應執行的處理方法 – [允許]、[封鎖] 或 [詢問]。

影響到的作業 – 您必須選取要套用規則的作業類型。規則只會使用於此類作業以及選取的 [目標]。

已啟用 – 如果您想要將規則保留在清單中，但不想套用它，請停用滑動軸。

[防護記錄嚴重性] – 如果您啟動此選項，有關此規則的資訊將寫入 HIPS 防護記錄。

通知使用者 – 若觸發事件，右下角將出現一個小的快顯視窗。

規則包含三個部分，說明觸發此規則的條件：

來源應用程式– 只有當事件是由此應用程式觸發時，才會使用此規則。從下拉式功能表中選取 [特定應用程式]，並按一下 [新增] 以新增新的檔案，或者您可以從下拉式功能表中選取 [所有應用程式] 以新增所有應用程式。

目標檔案 – 只有當作業與此目標相關時，才會使用此規則。從下拉式功能表中選取 [特定檔案]，並按一下 [新增] 以新增新的檔案或資料夾，或者您可以從下拉式功能表中選取 [所有檔案] 以新增所有應用程式。

應用程式 – 只有當作業與此目標相關時，才會使用此規則。從下拉式功能表中選取 [特定應用程式]，並按一下 [新增] 以新增新的檔案或資料夾，或者您可以從下拉式功能表中選取 [所有應用程式] 以新增所有應用程式。

登錄項目 – 只有當作業與此目標相關時，才會使用此規則。從下拉式功能表選取 [特定項目]，並按一下 [新增] 以手動輸入，或按一下 [開啟登錄編輯器] 以從登錄中選取機碼。您也可以從下拉式功能表選取 [所有項目] 以新增所有應用程式。

重要作業的說明：

檔案作業

•刪除檔案 – 應用程式正在要求權限，以刪除目標檔案。

•寫入檔案 – 應用程式正在要求權限，以寫入目標檔案。

•[直接存取磁碟] – 應用程式正嘗試以非標準程序從磁碟讀取或寫入磁碟，此動作將規避一般的 Windows 程序。這會導致在沒有對應規則之應用程式的情況下，修改檔案。此作業可能是因為惡意軟體嘗試規避偵測、備份軟體嘗試複製完整的磁碟副本，或是分割區管理程式嘗試重新組織磁碟區所造成。

•[安裝全域攔截] – 表示呼叫 MSDN 程式庫中的 SetWindowsHookEx 函式。

•載入驅動程式 – 將驅動程式安裝於系統中並載入。

應用程式作業

•對另一個應用程式進行除錯 – 附加除錯工具至處理程序。執行應用程式除錯作業時，您可以檢視並修改其行為的多種詳細資料，並且存取其資料。

•攔截另一個應用程式的事件 – 來源應用程式嘗試獲取特定應用程式鎖定的事件 (例如，Keylogger 嘗試擷取瀏覽器事件)。

•終止/暫停另一個應用程式 – 暫停、恢復或終止處理程序 (可從 Process Explorer 或 [處理程序] 窗格直接存取)。

•開始新應用程式 – 開始新的應用程式或處理程序。

•修改另一個應用程式的狀態 – 來源應用程式嘗試寫入目標應用程式的記憶體或代表自身執行程式碼。透過在封鎖使用此作業的規則中，將重要的應用程式配置為目標應用程式來進行保護，這樣做很有助益。

登錄作業

•[修改啟動設定] – 設定中的任何變更，這些設定是定義哪些應用程式將在 Windows 啟動時執行。例如，您可以透過搜尋 Windows 登錄中的 Run 機碼，找到這些設定。

•從登錄刪除 – 刪除登錄機碼或其值。

•重新命名登錄機碼 – 重新命名登錄機碼。

•修改登錄 – 建立登錄機碼的新值、變更現有的值、在資料庫樹狀結構中移動資料，或設定登錄機碼的使用者或群組權限。

在下列範例中，我們將示範如何限制特定應用程式發生不想要的行為：

1.替規則命名並選取 [處理方法] 下拉式功能表中的 [封鎖] (如果您偏好稍後選擇，則選取 [詢問])。

2.啟用 [通知使用者] 旁邊的滑動軸，以在每次套用規則時顯示通知。

3.在將套用規則的 [影響的作業] 區段中，選取 [至少一個作業]。

4.按 [下一步]。

5.在 [來源應用程式] 視窗中，從下拉式功能表選取 [特定應用程式]，將您的新規則套用至所有嘗試在您指定的應用程式上執行任何已選取應用程式作業的應用程式。

6.按一下 [新增]，再按一下 [...] 以選擇特定應用程式的路徑，然後按 [確定]。如果您想要，可以新增其他應用程式。
例如： C:\Program Files (x86)\Untrusted application\application.exe

7.選取 [寫入檔案] 作業。

8.從下拉式功能表中選取 [所有]。這會阻止前一個步驟中所選的應用程式嘗試寫入任何檔案。

9.按一下 [完成] 以儲存您的新規則。