编辑 HIPS 规则
首先查看 HIPS 规则管理。
规则名称 - 用户定义的或自动选择的规则名称。
操作 - 指定满足条件的情况下应执行的一项操作:允许、阻止或询问。
操作影响 - 您必须选择将要应用该规则的操作的类型。该规则将仅用于此类型的操作和选定的目标。
已启用 - 如果要将规则保留在列表中但不应用它,请禁用该开关。
日志记录严重级别 - 如果激活此选项,则有关此规则的信息将写入到 HIPS 日志中。
通知用户 - 如果触发事件,右下角会显示一个小通知窗口。
该规则包含以下部分,它们描述了触发使用此规则的条件:
源应用程序 - 仅当事件由此应用程序触发时才使用该规则。从下拉菜单中选择特定应用程序,并单击添加以添加新文件,或者可以从下拉菜单中选择所有应用程序以添加所有应用程序。
目标文件 - 仅当操作与此目标相关时才使用该规则。从下拉菜单中选择特定文件,然后单击添加以添加新文件或文件夹,或者可以从下拉菜单中选择所有文件以添加所有文件。
应用程序 - 仅当操作与此目标相关时才使用该规则。从下拉菜单中选择特定应用程序,并单击添加以添加新文件或文件夹,或者可以从下拉菜单中选择所有应用程序以添加所有应用程序。
注册表条目 - 仅当操作与此目标相关时才使用该规则。从下拉菜单中选择特定条目,并单击添加以手动键入它,或者可以单击打开注册表编辑器以从注册表中选择某项。此外,可以从下拉菜单中选择所有项以添加所有应用程序。
无法阻止 HIPS 预定义特定规则的一些操作,默认允许。此外,HIPS 并不监视所有系统操作。 HIPS 监视视为不安全的操作。 |
重要操作的说明:
文件操作
•删除文件 - 应用程序要求获得删除目标文件的权限。
•写入到文件 - 应用程序要求获得写入目标文件的权限。
•直接访问磁盘 - 应用程序尝试以绕过常见 Windows 过程的非标准方式读取或写入磁盘。这可能导致修改文件而不应用相应规则。尝试回避检测的恶意软件、尝试精确复制磁盘的备份软件或者尝试重新组织磁盘卷的分区管理器都可能导致此操作。
•安装全局挂钩 - 指从 MSDN 库调用 SetWindowsHookEx 函数。
•加载驱动程序 - 在系统上安装和加载驱动程序。
应用程序操作
•调试其他应用程序 - 将调试程序附加到进程。调试应用程序时,可以查看和修改其行为的许多详细信息,并访问其数据。
•拦截其他应用程序的事件 - 源应用程序尝试捕获针对特定应用程序的事件(例如尝试捕获浏览器事件的按键记录程序)。
•终止/暂停其他应用程序 - 暂停、恢复或中止进程(可以直接从进程浏览器或进程窗格访问)。
•启动新应用程序 - 启动新应用程序或进程。
•修改其他应用程序的状态 - 源应用程序尝试写入目标应用程序内存或运行自己的代码。此功能在阻止此操作使用的规则中将其配置为目标应用程序,从而保护重要应用程序。
注册表操作
•修改启动设置 - 定义哪些应用程序在 Windows 启动时运行的设置的任何更改。例如,可通过在 Windows 注册表中搜索 Run 键来找到这些信息。
•从注册表删除 - 删除注册表项或其值。
•重命名注册表项 - 重命名注册表项。
•修改注册表 - 创建注册表项的新值、更改现有值、在数据库树中移动数据,或设置用户或组对注册表项的权限。
在输入目标时,可以使用带有某些限制的通配符。注册表路径中可以使用 *(星号)符号代替特定键。例如,HKEY_USERS\*\software 可以表示 HKEY_USER\.default\software,但不是 HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software。HKEY_LOCAL_MACHINE\system\ControlSet* 不是有效的注册表项路径。注册表键路径具有 \*,表示“此路径,或在该符号后的任意级别的任意路径”。这是为文件目标使用通配符的唯一方式。首先,将评估路径的特定部分,然后是通配符符号 (*) 后的路径。 |
如果创建了太笼统的规则,将会显示关于此类规则的警告。 |
在以下示例中,我们将演示如何限制不需要的特定应用程序行为:
1.命名规则,并从操作下拉菜单中选择阻止(或询问,如果想要稍后选择)。
2.启用通知用户旁边的滑块以在每次应用规则时显示通知。
3.在操作影响部分中,为将应用的规则选择至少一项操作。
4.单击下一步。
5.在源应用程序窗口中,从下拉菜单中选择特定应用程序,以将新规则应用于尝试在指定的应用程序上执行任何选定的应用程序操作的所有应用程序。
6.单击添加,单击 ... 以选择特定应用程序的路径,然后按确定。添加更多应用程序(如果需要)。
例如: C:\Program Files (x86)\Untrusted application\application.exe
7.选择写入文件操作。
8.从下拉菜单中选择所有文件。这将阻止上一步中选定应用程序写入任何文件的任何尝试。
9.单击完成保存新规则。