Nastavenie pravidla HIPS
V tomto okne sa zobrazuje prehľad pravidiel HIPS.
Pravidlo |
Názov pravidla určený používateľom alebo automaticky. |
---|---|
Zapnuté |
Túto možnosť je vhodné deaktivovať v prípade, ak si želáte ponechať dané pravidlo v zozname pravidiel, avšak nechcete ho používať. |
Akcia |
Pravidlo špecifikuje (práve jednu) akciu (Povoliť, Blokovať, Spýtať sa), ktorú je potrebné vykonať, ak sú všetky podmienky splnené. |
Zdroje |
Pravidlo sa uplatní len v prípade, že udalosť vyvolajú konkrétne aplikácie. |
Ciele |
Pravidlo sa uplatní, len ak sa operácia týka konkrétneho súboru, aplikácie alebo položky databázy Registry. |
Závažnosť zapisovania do protokolu |
Po zapnutí tejto možnosti budú informácie o danom pravidle zapisované do protokolu HIPS. |
Oznámiť |
Po spustení udalosti sa v oblasti oznámení systému Windows zobrazí malé okno. |
Kliknutím na Pridať môžete vytvoriť nové pravidlo HIPS, prípadne kliknite na Upraviť, ak chcete upraviť označené položky.
Názov pravidla
Názov pravidla určený používateľom alebo automaticky.
Akcia
Pravidlo špecifikuje (práve jednu) akciu (Povoliť, Blokovať, Spýtať sa), ktorú je potrebné vykonať, ak sú všetky podmienky splnené.
Ovplyvnené operácie
Vyberte typy operácií, na ktoré bude pravidlo aplikované. Pravidlo sa uplatní len na tento typ operácie a na zvolený cieľ. Pravidlo pozostáva z častí, ktoré popisujú podmienky, za ktorých sa pravidlo spustí:
Zdrojové aplikácie
Pravidlo sa uplatní, len ak udalosť vyvolajú dané aplikácie. Vyberte možnosť Špecifické aplikácie z roletového menu a kliknite na Pridať, ak chcete pridať jednotlivé súbory alebo priečinky konkrétnej aplikácie, prípadne označte v roletovom menu možnosť Všetky aplikácie a pridajú sa všetky aplikácie.
Niektoré operácie určitých pravidiel preddefinovaných modulom HIPS nemôžu byť blokované a sú predvolene povolené. Navyše, nie všetky systémové operácie sú monitorované modulom HIPS. Modul HIPS monitoruje operácie, ktoré možno považovať za nebezpečné. |
Popis niektorých dôležitých aplikácií:
Súborové operácie
Vymazať súbor |
Aplikácia žiada o povolenie zmazať cieľový súbor. |
---|---|
Zapísať do súboru |
Aplikácia žiada o povolenie zapisovať do cieľového súboru. |
Priamy prístup na disk |
Aplikácia sa snaží čítať z disku alebo naň zapisovať neštandardným spôsobom, ktorý obchádza štandardné procedúry systému Windows. Výsledkom môže byť zmena súboru bez aplikácie príslušného pravidla. Táto operácia môže byť spôsobená škodlivým kódom, ktorý sa snaží vyhnúť detekcii, ďalej zálohovacím programom, ktorý kopíruje celý obsah pevného disku, alebo správcom oblastí disku, ktorý reorganizuje diskové zväzky. |
Nainštalovať globálny hook |
Ide o volanie funkcie SetWindowsHookEx z knižnice MSDN. |
Načítať ovládač |
Inštalácia a načítanie ovládačov v systéme. |
Pravidlo sa uplatní, len ak sa operácia týka tohto cieľa. V roletovom menu vyberte možnosť Špecifické súbory a kliknutím na Pridať pridajte nové súbory alebo priečinky. Prípadne môžete v roletovom menu vybrať možnosť Všetky súbory a pridať tak všetky aplikácie.
Operácie s aplikáciou
Ladiť inú aplikáciu |
Pripojí ladiaci nástroj (debugger) k procesu. Pri ladení aplikácie je možné pozorovať alebo meniť jej správanie. Tiež je možné pristupovať k jej dátam. |
---|---|
Zachytávať udalosti inej aplikácie |
Zdrojová aplikácia sa pokúša zachytiť udalosti cieľovej aplikácie (napríklad, ak sa keylogger snaží zachytiť aktivitu webového prehliadača). |
Ukončiť/pozastaviť inú aplikáciu |
Pozastavenie, obnovenie alebo ukončenie procesu (môže byť vyvolané priamo z nástroja Process Explorer alebo z okna Procesy). |
Spustiť novú aplikáciu |
Spúšťanie nových aplikácií alebo procesov. |
Zmeniť stav inej aplikácie |
Zdrojová aplikácia sa pokúša zapisovať do pamäte cieľovej aplikácie, prípadne sa snaží spustiť kód v jej mene. Táto funkcia je užitočná na ochranu dôležitej aplikácie, ak ju nastavíte ako cieľovú aplikáciu pri pravidle, ktoré blokuje tieto operácie. |
Pravidlo sa uplatní, len ak sa operácia týka tohto cieľa. V roletovom menu vyberte možnosť Špecifické aplikácie a kliknutím na Pridať pridajte jednotlivé súbory alebo priečinky konkrétnej aplikácie. Prípadne môžete v roletovom menu vybrať možnosť Všetky aplikácie a pridať tak všetky aplikácie.
Operácie s databázou Registry
Zmena nastavení spustenia |
Ide o akékoľvek zmeny v nastaveniach definujúcich, ktoré aplikácie budú spúšťané pri štarte operačného systému Windows. Môžu byť vyhľadané napríklad pri zadaní kľúča Run do vyhľadávania v databáze Registry systému Windows. |
---|---|
Vymazanie z databázy Registry |
Zmazanie kľúča alebo hodnoty v danom kľúči. |
Premenovanie kľúča databázy Registry |
Premenovanie konkrétneho kľúča. |
Úprava v databáze Registry |
Vytváranie nových hodnôt kľúčov alebo zmena dát asociovaných s hodnotou, zmena umiestnenia dát v rámci stromu databázy a nastavovanie používateľských alebo skupinových práv daného kľúča. |
Pravidlo sa uplatní, len ak sa operácia týka tohto cieľa. V roletovom menu vyberte možnosť Špecifické položky a kliknutím na Pridať pridajte nové súbory alebo priečinky. Prípadne môžete v roletovom menu vybrať možnosť Všetky položky a pridať tak všetky aplikácie.
Pri zadávaní cieľa je povolené používať zástupné znaky s istými obmedzeniami. Pri cestách k databáze Registry sa dá namiesto konkrétneho kľúča v ceste použiť symbol hviezdičky (*) vo význame „ľubovoľný jeden kľúč“. Napríklad HKEY_USERS\*\software can mean HKEY_USER\.default\software nepredstavuje HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* je nesprávne uvedená cesta kľúča databázy Registry. Cesta kľúča databázy Registry obsahujúca \* má špeciálny význam, znamená „tento kľúč alebo ľubovoľný podkľúč ľubovoľne hlboko“. Pri súborových cieľoch sa dajú používať zástupné znaky len týmto spôsobom. Pri vyhodnocovaní platí, že vždy sa hľadá najprv cieľ, ktorý popisuje danú cestu presne, až potom cieľ, ktorý ju popisuje s hviezdičkou (*). |
Pri vytvorení príliš všeobecného pravidla sa môže zobraziť upozornenie. |