ESET interneto žinynas

Paieška Lietuvių
Pasirinkite temą

HIPS taisyklės parametrai

Pirmiausia žr. HIPS taisyklių tvarkymas.

Taisyklės pavadinimas – vartotojo pasirinktas arba automatiškai sukurtas taisyklės pavadinimas.

Veiksmas – nurodomas veiksmas – Leisti, Blokuoti arba Klausti – kuris turi būti atliekamas, kai tenkinamos nustatytos sąlygos.

Susijusios operacijos – turite pasirinkti operacijų tipą, kuriam bus taikoma taisyklė. Taisyklė bus naudojama tik šio tipo operacijoms ir pasirinktam tikslui.

Įjungta – išjunkite šį jungiklį, jei taisyklę norite išlaikyti sąraše, bet nenorite jos taikyti.

Registravimo svarbumas – jei suaktyvinsite šią parinktį, informacija apie šią taisyklę bus įrašyta į HIPS žurnalą.

Pranešti vartotojui – mažas iškylantysis langas parodomas apatiniame dešiniajame kampe, jei paleidžiamas įvykis.

 

Taisyklė sudaryta iš dalių, kurios apibūdina sąlygas, įjungiančias šią taisyklę:

Šaltinio programos taisyklė bus naudojama, tik jei įvykį paleidžia ši (šios) programa (-os). Išskleidžiamajame meniu pasirinkite Konkrečios programos ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visos programos ir pridėti visas programas.

Tiksliniai failai – taisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkretūs failai ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visi failai ir pridėti visus failus.

Programos– taisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkrečios programos ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visos programos ir pridėti visas programas.

Registro įrašai– taisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkretūs įrašai ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visi įrašai ir pridėti visus įrašus.


note

Kai kurių tam tikrų taisyklių iš anksto HIPS nustatytų operacijų negalima užblokuoti, todėl jos yra leidžiamos pagal numatytuosius nustatymus. Be to, ne visos sistemos operacijos yra stebimos HIPS. HIPS stebi operacijas, kurios gali būti laikomos nesaugiomis.


note

Nurodant kelią, C:\example paveikia veiksmus su pačiu aplanku, o C:\example*.* paveikia failus aplanke.

Programų operacijos

  • Derinti kitą programą – derinimo modulis prijungiamas prie proceso. Derinant taikomąją programą galima peržiūrėti ir pakeisti daugelį jos veikimo detalių ir prieiti prie jos duomenų.
  • Sustabdyti kitų programų įvykiai – šaltinio programa bando perimti įvykius, nukreiptus į konkrečią programą (pavyzdžiui, klaviatūros paspaudimų registravimo programa bando įrašyti naršyklės įvykius).
  • Nutraukti / laikinai sustabdyti kitą taikomąją programą – laikinai sustabdo, tęsia arba nutraukia procesą (galima prieiga tiesiai iš „Process Explorer“ arba iš procesų polangio).
  • Pradėti naują taikomąją programą – naujų programų arba procesų paleidimas.
  • Modifikuoti kitos programos būseną – šaltinio programa bando rašyti į tikslo programos atmintį arba vykdyti kodą jos vardu. Ši funkcija gali būti naudinga norint apsaugoti svarbią programą konfigūruojant ją kaip tikslo programą taisyklėje, blokuojančioje šios operacijos naudojimą.

note

Neįmanoma pertraukti procesų operacijų 64 bitų „Windows XP“ versijoje.

Registrų operacijos

  • Modifikuoti paleidimo parametrus – visi parametrų, nurodančių, kurios programos bus vykdomos paleidžiant „Windows“, keitimai. Jie gali būti aptikti, pavyzdžiui, ieškant Run rakto „Windows“ registre.
  • Naikinti iš registro – registro rakto arba jo reikšmės naikinimas.
  • Pervardyti registro raktą – registrų raktų pervardijimas.
  • Keisti registrą – kuriamos naujos registro rakto reikšmės, keičiamos esamos reikšmės, duomenys perkeliami į duomenų bazės medį arba nustatomos vartotojo ar grupės teisės registro raktams.

note

Pakaitos simbolių naudojimas taisyklėse

Žvaigždutė taisyklėse gali būti naudojama tik tam tikram raktui pakeisti, pavyzdžiui, „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start“. Kiti pakaitos simbolių naudojimo būdai nepalaikomi.

Taisyklių, skirtų „HKEY_CURRENT_USER“ raktui, kūrimas

Šis raktas yra tik nuoroda į atitinkamą „HKEY_USERS“ dalinį raktą, skirtą vartotojui, identifikuotam pagal SID (saugų identifikatorių). Norėdami sukurti taisyklę tik dabartiniam vartotojui, užuot naudojęsi keliu į „HKEY_CURRENT_USER“, naudokitės keliu, vedančiu į „HKEY_USERS\%SID%“. Kaip SID galite naudoti žvaigždutę, kad taisyklė būtų taikoma visiems vartotojams.


warning

Jei sukursite labai bendrą taisyklę, bus parodytas įspėjimas apie šio tipo taisyklę.

Šiame pavyzdyje parodysime, kaip uždrausti nepageidaujamus konkrečios programos veiksmus:

  1. Pavadinkite taisyklę ir pasirinkite Blokuoti (arba Klausti, jei norite pasirinkti vėliau) išskleidžiamajame meniu Veiksmas.
  2. Įjunkite jungiklį Pranešti vartotojui, kad pranešimas būtų rodomas kaskart pritaikius taisyklę.
  3. Pasirinkite bent vieną operaciją dalyje Aktualios operacijos, kurioms bus taikoma taisyklė.
  4. Spustelėkite Kitas.
  5. Lango Šaltinio programos išskleidžiamajame meniu pasirinkite Konkrečios programos, kad naują taisyklę pritaikytumėte visoms programoms, kurios bandys atlikti kurią nors iš pasirinktų programų operacijų.
  6. Spustelėkite Pridėti ir ..., kad pasirinktumėte konkrečios programos kelią, ir paspauskite Gerai. Jei norite, įtraukite daugiau programų.
    Pavyzdžiui: C:\Program Files (x86)\Untrusted application\application.exe
  7. Pasirinkite operaciją Rašyti į failą.
  8. Išskleidžiamajame meniu pasirinkite Visi failai. Taip užblokuosite ankstesniu veiksmu pasirinktos programos (-ų) bandymus įrašyti į failus.
  9. Spustelėkite Baigti, kad naują taisyklę įrašytumėte.

CONFIG_HIPS_RULES_EXAMPLE