ESET Online pomocník

Vyhľadať Slovenčina
Vyberte kapitolu

Nastavenie pravidla HIPS

V tomto okne sa zobrazuje prehľad pravidiel HIPS.

Pravidlo

Názov pravidla určený používateľom alebo automaticky.

Zapnuté

Túto možnosť je vhodné deaktivovať v prípade, ak si želáte ponechať dané pravidlo v zozname pravidiel, avšak nechcete ho používať.

Akcia

Pravidlo špecifikuje (práve jednu) akciu (Povoliť, Blokovať, Spýtať sa), ktorú je potrebné vykonať, ak sú všetky podmienky splnené.

Zdroje

Pravidlo sa uplatní len v prípade, že udalosť vyvolajú konkrétne aplikácie.

Ciele

Pravidlo sa uplatní, len ak sa operácia týka konkrétneho súboru, aplikácie alebo položky databázy Registry.

Závažnosť zapisovania do protokolu

Po zapnutí tejto možnosti budú informácie o danom pravidle zapisované do protokolu HIPS.

Oznámiť

Po spustení udalosti sa v oblasti oznámení systému Windows zobrazí malé okno.

Kliknutím na Pridať môžete vytvoriť nové pravidlo HIPS, prípadne kliknite na Upraviť, ak chcete upraviť označené položky.

Názov pravidla

Názov pravidla určený používateľom alebo automaticky.

Akcia

Pravidlo špecifikuje (práve jednu) akciu (Povoliť, Blokovať, Spýtať sa), ktorú je potrebné vykonať, ak sú všetky podmienky splnené.

Ovplyvnené operácie

Vyberte typy operácií, na ktoré bude pravidlo aplikované. Pravidlo sa uplatní len na tento typ operácie a na zvolený cieľ. Pravidlo pozostáva z častí, ktoré popisujú podmienky, za ktorých sa pravidlo spustí:

Zdrojové aplikácie

Pravidlo sa uplatní, len ak udalosť vyvolajú dané aplikácie. Vyberte možnosť Špecifické aplikácie z roletového menu a kliknite na Pridať, ak chcete pridať jednotlivé súbory alebo priečinky konkrétnej aplikácie, prípadne označte v roletovom menu možnosť Všetky aplikácie a pridajú sa všetky aplikácie.


note

Niektoré operácie určitých pravidiel preddefinovaných modulom HIPS nemôžu byť blokované a sú predvolene povolené. Navyše, nie všetky systémové operácie sú monitorované modulom HIPS. Modul HIPS monitoruje operácie, ktoré možno považovať za nebezpečné.

Popis niektorých dôležitých aplikácií:

Súborové operácie

Vymazať súbor

Aplikácia žiada o povolenie zmazať cieľový súbor.

Zapísať do súboru

Aplikácia žiada o povolenie zapisovať do cieľového súboru.

Priamy prístup na disk

Aplikácia sa snaží čítať z disku alebo naň zapisovať neštandardným spôsobom, ktorý obchádza štandardné procedúry systému Windows. Výsledkom môže byť zmena súboru bez aplikácie príslušného pravidla. Táto operácia môže byť spôsobená škodlivým kódom, ktorý sa snaží vyhnúť detekcii, ďalej zálohovacím programom, ktorý kopíruje celý obsah pevného disku, alebo správcom oblastí disku, ktorý reorganizuje diskové zväzky.

Nainštalovať globálny hook

Ide o volanie funkcie SetWindowsHookEx z knižnice MSDN.

Načítať ovládač

Inštalácia a načítanie ovládačov v systéme.

Pravidlo sa uplatní, len ak sa operácia týka tohto cieľa. V roletovom menu vyberte možnosť Špecifické súbory a kliknutím na Pridať pridajte nové súbory alebo priečinky. Prípadne môžete v roletovom menu vybrať možnosť Všetky súbory a pridať tak všetky aplikácie.

Operácie s aplikáciou

Ladiť inú aplikáciu

Pripojí ladiaci nástroj (debugger) k procesu. Pri ladení aplikácie je možné pozorovať alebo meniť jej správanie. Tiež je možné pristupovať k jej dátam.

Zachytávať udalosti inej aplikácie

Zdrojová aplikácia sa pokúša zachytiť udalosti cieľovej aplikácie (napríklad, ak sa keylogger snaží zachytiť aktivitu webového prehliadača).

Ukončiť/pozastaviť inú aplikáciu

Pozastavenie, obnovenie alebo ukončenie procesu (môže byť vyvolané priamo z nástroja Process Explorer alebo z okna Procesy).

Spustiť novú aplikáciu

Spúšťanie nových aplikácií alebo procesov.

Zmeniť stav inej aplikácie

Zdrojová aplikácia sa pokúša zapisovať do pamäte cieľovej aplikácie, prípadne sa snaží spustiť kód v jej mene. Táto funkcia je užitočná na ochranu dôležitej aplikácie, ak ju nastavíte ako cieľovú aplikáciu pri pravidle, ktoré blokuje tieto operácie.

Pravidlo sa uplatní, len ak sa operácia týka tohto cieľa. V roletovom menu vyberte možnosť Špecifické aplikácie a kliknutím na Pridať pridajte jednotlivé súbory alebo priečinky konkrétnej aplikácie. Prípadne môžete v roletovom menu vybrať možnosť Všetky aplikácie a pridať tak všetky aplikácie.

Operácie s databázou Registry

Zmena nastavení spustenia

Ide o akékoľvek zmeny v nastaveniach definujúcich, ktoré aplikácie budú spúšťané pri štarte operačného systému Windows. Môžu byť vyhľadané napríklad pri zadaní kľúča Run do vyhľadávania v databáze Registry systému Windows.

Vymazanie z databázy Registry

Zmazanie kľúča alebo hodnoty v danom kľúči.

Premenovanie kľúča databázy Registry

Premenovanie konkrétneho kľúča.

Úprava v databáze Registry

Vytváranie nových hodnôt kľúčov alebo zmena dát asociovaných s hodnotou, zmena umiestnenia dát v rámci stromu databázy a nastavovanie používateľských alebo skupinových práv daného kľúča.

Pravidlo sa uplatní, len ak sa operácia týka tohto cieľa. V roletovom menu vyberte možnosť Špecifické položky a kliknutím na Pridať pridajte nové súbory alebo priečinky. Prípadne môžete v roletovom menu vybrať možnosť Všetky položky a pridať tak všetky aplikácie.


note

Pri zadávaní cieľa je povolené používať zástupné znaky s istými obmedzeniami. Pri cestách k databáze Registry sa dá namiesto konkrétneho kľúča v ceste použiť symbol hviezdičky (*) vo význame „ľubovoľný jeden kľúč“. Napríklad HKEY_USERS\*\software can mean HKEY_USER\.default\software nepredstavuje HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* je nesprávne uvedená cesta kľúča databázy Registry. Cesta kľúča databázy Registry obsahujúca \* má špeciálny význam, znamená „tento kľúč alebo ľubovoľný podkľúč ľubovoľne hlboko“. Pri súborových cieľoch sa dajú používať zástupné znaky len týmto spôsobom. Pri vyhodnocovaní platí, že vždy sa hľadá najprv cieľ, ktorý popisuje danú cestu presne, až potom cieľ, ktorý ju popisuje s hviezdičkou (*).


warning

Pri vytvorení príliš všeobecného pravidla sa môže zobraziť upozornenie.