ESET 線上說明

搜尋 繁體字
選取主題

HIPS 規則設定

此視窗為您提供現有 HIPS 規則的概觀。

規則

使用者定義或自動選擇的規則名稱。

已啟用

如果您想要將規則保留在清單中,但不想使用它,請停用此切換選項。

處理方法

本規則指出條件正確時應執行的處理方法 – 包括 [允許]、[封鎖] 或 [詢問]。

來源

來源 - 只有當事件是由此應用程式觸發時,才會使用此規則。

目標

只有當作業與特定檔案、應用程式或登錄項目相關時,才會使用此規則。

防護記錄嚴重性

如果您啟動此選項,有關此規則的資訊將寫入 HIPS 防護記錄

通知

若觸發事件,在 Windows 通知區域將顯示一個小視窗。

建立新規則,按一下新增新的 HIPS 規則或編輯選取的項目。

規則名稱

使用者定義或自動選擇的規則名稱。

處理方法

本規則指出條件正確時應執行的處理方法,包括 [允許][封鎖][詢問]

作業系統

您必須選取要套用規則的作業類型。規則只會使用於此類作業以及選取的 [目標]。規則包含會說明觸發此規則之情況的部分。

來源應用程式

只有當事件是由此應用程式觸發時,才會使用此規則。從下拉式功能表中選取特定應用程式並按一下 [新增] 以新增檔案或資料夾;您也可以從下拉式功能表中選取 [所有應用程式] 並新增所有應用程式。


note

根據預設,不能封鎖且必須允許由 HIPS 預先定義之特定規則的某些作業。此外,並非所有的系統作業皆由 HIPS 監視。HIPS 監視系統視為不安全的作業。

重要作業的說明:

檔案作業

刪除檔案

應用程式正在要求權限,以刪除目標檔案。

寫入檔案

應用程式正在要求權限,以寫入目標檔案。

直接存取磁碟

應用程式正嘗試以非標準程序從磁碟讀取或寫入磁碟,此動作將規避一般的 Windows 程序。這會導致在沒有對應規則之應用程式的情況下,修改檔案。此作業可能是因為惡意軟體嘗試規避偵測、備份軟體嘗試複製完整的磁碟副本,或是分割區管理程式嘗試重新組織磁碟區所造成。

安裝全域攔截

表示呼叫 MSDN 程式庫中的 SetWindowsHookEx 函式。

載入驅動程式

將驅動程式安裝於系統中並載入。

只有當作業與此目標相關時,才會使用此規則。從下拉式功能表中選取 [特定檔案] 並按一下 [新增] 以新增檔案或資料夾。或者,您可以從下拉式功能表中選取 [所有檔案] 以新增所有應用程式。

應用程式作業

除錯另一個應用程式

附加除錯工具至處理程序。執行應用程式除錯作業時,您可以檢視並修改其行為的多種詳細資料,並且存取其資料。

攔截另一個應用程式的事件

來源應用程式嘗試獲取特定應用程式鎖定的事件 (例如,Keylogger 嘗試擷取瀏覽器事件)。

終止/暫停另一個應用程式

暫停、恢復或終止處理程序 (可從 Process Explorer 或 [處理程序] 視窗直接存取)。

開始新應用程式

開始新的應用程式或處理程序。

修改另一個應用程式的狀態

來源應用程式嘗試寫入目標應用程式的記憶體或代表自身執行代碼。透過在封鎖使用此作業的規則中,將重要的應用程式配置為目標應用程式來進行保護,這樣做很有助益。

只有當作業與此目標相關時,才會使用此規則。從下拉式功能表選取 [特定應用程式] 並按一下 [新增] 以新增檔案或資料夾。或者,您可以從下拉式功能表中選取 [所有應用程式] 以新增所有應用程式。

登錄作業

修改啟動設定

設定中的任何變更,這些設定是定義哪些應用程式將在 Windows 啟動時執行。例如,您可以透過搜尋 Windows 登錄中的 Run 機碼,找到這些設定。

從登錄刪除

從登錄刪除 - 刪除登錄機碼或其值。

重新命名登錄機碼

重新命名登錄機碼。

修改登錄

建立登錄機碼的新值、變更現有的值、在資料庫樹狀結構中移動資料,或設定登錄機碼的使用者或群組權限。

只有當作業與此目標相關時,才會使用此規則。從下拉式功能表中選取 [特定項目] 並按一下 [新增] 以新增檔案或資料夾。或者,您可以從下拉式功能表中選取 [所有項目] 以新增所有應用程式。


note

輸入目標時,您可以在某些限制下使用萬用字元。登錄路徑中不使用特定機碼,而是使用 * (星號) 符號。例如,HKEY_USERS\*\software can mean HKEY_USER\.default\software 而非 HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software。HKEY_LOCAL_MACHINE\system\ControlSet* 不是有效的登錄機碼路徑。登錄機碼路徑若包含 \*,表示「此路徑,或該符號之後所有層級的所有路徑」。這是針對檔案目標使用萬用字元的唯一方法。首先,會先評估確實路徑,然後評估萬用字元符號 (*) 之後的路徑。


warning

若您建立過於廣泛的規則,您將會收到通知。