HIPS taisyklės parametrai
Pirmiausia žr. HIPS taisyklių tvarkymas.
Taisyklės pavadinimas – vartotojo pasirinktas arba automatiškai sukurtas taisyklės pavadinimas.
Veiksmas – nurodomas veiksmas – Leisti, Blokuoti arba Klausti – kuris turi būti atliekamas, kai tenkinamos nustatytos sąlygos.
Susijusios operacijos – turite pasirinkti operacijų tipą, kuriam bus taikoma taisyklė. Taisyklė bus naudojama tik šio tipo operacijoms ir pasirinktam tikslui.
Įjungta – išjunkite šį jungiklį, jei taisyklę norite išlaikyti sąraše, bet nenorite jos taikyti.
Žurnalas – jei suaktyvinsite šią parinktį, informacija apie šią taisyklę bus įrašyta į HIPS žurnalą.
Pranešti vartotojui – mažas iškylantysis langas parodomas apatiniame dešiniajame kampe, jei paleidžiamas įvykis.
Taisyklė sudaryta iš dalių, kurios apibūdina sąlygas, įjungiančias šią taisyklę:
Šaltinio programos– taisyklė bus naudojama, tik jei įvykį paleidžia ši (šios) programa (-os). Išskleidžiamajame meniu pasirinkite Konkrečios programos ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visos programos ir pridėti visas programas.
Failai– taisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkretūs failai ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visi failai ir pridėti visus failus.
Programos– taisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkrečios programos ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visos programos ir pridėti visas programas.
Registro įrašai– taisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkretūs įrašai ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visi įrašai ir pridėti visus įrašus.
|
Pastaba Kai kurių tam tikrų taisyklių iš anksto HIPS nustatytų operacijų negalima užblokuoti, todėl jos yra leidžiamos pagal numatytuosius nustatymus. Be to, ne visos sistemos operacijos yra stebimos HIPS. HIPS stebi operacijas, kurios gali būti laikomos nesaugiomis. |
Svarbių operacijų aprašai:
Failų operacijos
•Naikinti failą – taikomoji programa prašo leidimo naikinti tikslo failą.
•Rašyti į failą – programa prašo leidimo rašyti į tikslo failą.
•Tiesioginė prieiga prie disko – programa bando skaityti arba rašyti į diską nestandartiniu būdu, apeidama įprastas „Windows“ procedūras. Taip gali būti modifikuojami failai netaikant atitinkamų taisyklių. Šią operaciją galima atlikti, kai kenkėjiška programa bando išvengti aptikimo, atsarginio saugojimo programinė įranga bando padaryti tikslią disko kopiją arba skaidinių tvarkyklė bando pertvarkyti disko tomus.
•Diegti visuotinę trikčių gaudyklę – susijusi su funkcija SetWindowsHookEx iš MSDN bibliotekos.
•Įkelti tvarkyklę – tvarkyklių diegimas ir įkėlimas į sistemą.
Programų operacijos
•Derinti kitą programą – derinimo modulis prijungiamas prie proceso. Derinant taikomąją programą galima peržiūrėti ir pakeisti daugelį jos veikimo detalių ir prieiti prie jos duomenų.
•Sustabdyti kitų programų įvykiai – šaltinio programa bando perimti įvykius, nukreiptus į konkrečią programą (pavyzdžiui, klaviatūros paspaudimų registravimo programa bando įrašyti naršyklės įvykius).
•Nutraukti / laikinai sustabdyti kitą taikomąją programą – laikinai sustabdo, tęsia arba nutraukia procesą (galima prieiga tiesiai iš „Process Explorer“ arba iš procesų polangio).
•Pradėti naują taikomąją programą – naujų programų arba procesų paleidimas.
•Modifikuoti kitos programos būseną – šaltinio programa bando rašyti į tikslo programos atmintį arba vykdyti kodą jos vardu. Ši funkcija gali būti naudinga norint apsaugoti svarbią programą konfigūruojant ją kaip tikslo programą taisyklėje, blokuojančioje šios operacijos naudojimą.
|
Pastaba Neįmanoma pertraukti procesų operacijų 64 bitų „Windows XP“ versijoje. |
Registrų operacijos
•Modifikuoti paleidimo parametrus – visi parametrų, nurodančių, kurios programos bus vykdomos paleidžiant „Windows“, keitimai. Jie gali būti aptikti, pavyzdžiui, ieškant Run rakto „Windows“ registre.
•Naikinti iš registro – registro rakto arba jo reikšmės naikinimas.
•Pervardyti registro raktą – registrų raktų pervardijimas.
•Keisti registrą – kuriamos naujos registro rakto reikšmės, keičiamos esamos reikšmės, duomenys perkeliami į duomenų bazės medį arba nustatomos vartotojo ar grupės teisės registro raktams.
|
Pastaba Pakaitos simbolių naudojimas taisyklėse Žvaigždutė taisyklėse gali būti naudojama tik tam tikram raktui pakeisti, pavyzdžiui, „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start“. Kiti pakaitos simbolių naudojimo būdai nepalaikomi. Taisyklių, skirtų „HKEY_CURRENT_USER“ raktui, kūrimas Šis raktas yra tik nuoroda į atitinkamą „HKEY_USERS“ dalinį raktą, skirtą vartotojui, identifikuotam pagal SID (saugų identifikatorių). Norėdami sukurti taisyklę tik dabartiniam vartotojui, užuot naudojęsi keliu į „HKEY_CURRENT_USER“, naudokitės keliu, vedančiu į „HKEY_USERS\%SID%“. Kaip SID galite naudoti žvaigždutę, kad taisyklė būtų taikoma visiems vartotojams. |
|
Įspėjimas Jei sukursite labai bendrą taisyklę, bus parodytas įspėjimas apie šio tipo taisyklę. |
Šiame pavyzdyje parodysime, kaip uždrausti nepageidaujamus konkrečios programos veiksmus:
1.Pavadinkite taisyklę ir pasirinkite Blokuoti (arba Klausti, jei norite pasirinkti vėliau) išskleidžiamajame meniu Veiksmas.
2.Įjunkite jungiklį Pranešti vartotojui, kad pranešimas būtų rodomas kaskart pritaikius taisyklę.
3.Pasirinkite bent vieną operaciją dalyje Aktualios operacijos, kurioms bus taikoma taisyklė.
4.Spustelėkite Kitas.
5.Lango Šaltinio programos išskleidžiamajame meniu pasirinkite Konkrečios programos, kad naują taisyklę pritaikytumėte visoms programoms, kurios bandys atlikti kurią nors iš pasirinktų programų operacijų.
6.Spustelėkite Pridėti ir ..., kad pasirinktumėte konkrečios programos kelią, ir paspauskite Gerai. Jei norite, įtraukite daugiau programų.
Pavyzdžiui: C:\Program Files (x86)\Untrusted application\application.exe
7.Pasirinkite operaciją Rašyti į failą.
8.Išskleidžiamajame meniu pasirinkite Visi failai. Taip užblokuosite ankstesniu veiksmu pasirinktos programos (-ų) bandymus įrašyti į failus.
9.Spustelėkite Baigti, kad naują taisyklę įrašytumėte.
