Επεξεργασία ενός κανόνα HIPS

Δείτε πρώτα το θέμα Διαχείριση κανόνων HIPS.

Όνομα κανόνα – Όνομα του κανόνα που καθορίζεται από το χρήστη ή επιλέγεται αυτόματα.

Ενέργεια – Καθορίζει μια ενέργεια – Αποδοχή, Αποκλεισμός ή Ερώτηση – που θα πρέπει να εκτελεστεί εάν ισχύουν καθορισμένες συνθήκες.

Λειτουργίες που επηρεάζονται – Πρέπει να επιλέξετε τον τύπο λειτουργίας για τον οποίο θα ισχύει ο κανόνας. Ο κανόνας θα χρησιμοποιηθεί μόνο για αυτό τον τύπο λειτουργίας και για τον επιλεγμένο προορισμό.

Ενεργός – Απενεργοποιήστε αυτό το ρυθμιστικό εάν θέλετε να διατηρηθεί ο κανόνας στη λίστα αλλά να μην εφαρμόζεται.

Καταγραφή κρισιμότητας: – Εάν ενεργοποιήσετε αυτή την επιλογή, θα εγγραφούν πληροφορίες για αυτό τον κανόνα στο αρχείο καταγραφής HIPS.

Ειδοποίηση χρήστη – Εμφανίζεται ένα μικρό αναδυόμενο παράθυρο στην κάτω δεξιά γωνία εάν ενεργοποιηθεί ένα συμβάν.

Ο κανόνας αποτελείται από μέρη τα οποία περιγράφουν τις συνθήκες ενεργοποίησης αυτού του κανόνα:

Εφαρμογές προέλευσης– Ο κανόνας θα χρησιμοποιείται μόνο εάν ενεργοποιηθεί το συμβάν από αυτή ή αυτές τις εφαρμογές. Επιλέξτε Συγκεκριμένες εφαρμογές από το αναπτυσσόμενο μενού και κάντε κλικ στο στοιχείο Προσθήκη για να προσθέσετε νέα αρχεία ή μπορείτε να επιλέξετε Όλες οι εφαρμογές από το αναπτυσσόμενο μενού για να προσθέσετε όλες τις εφαρμογές.

Αρχεία προορισμού – Ο κανόνας θα χρησιμοποιηθεί μόνο εάν η λειτουργία σχετίζεται με αυτό τον προορισμό. Επιλέξτε Συγκεκριμένα αρχεία από το αναπτυσσόμενο μενού και κάντε κλικ στο στοιχείο Προσθήκη για να προσθέσετε νέα αρχεία ή φακέλους ή μπορείτε να επιλέξετε Όλα τα αρχεία από το αναπτυσσόμενο μενού για να προσθέσετε όλα τα αρχεία.

Εφαρμογές – Ο κανόνας θα χρησιμοποιηθεί μόνο εάν η λειτουργία σχετίζεται με αυτό τον προορισμό. Επιλέξτε Συγκεκριμένες εφαρμογές από το αναπτυσσόμενο μενού και κάντε κλικ στο στοιχείο Προσθήκη για να προσθέσετε νέα αρχεία ή φακέλους, ή μπορείτε να επιλέξετε Όλες οι εφαρμογές από το αναπτυσσόμενο μενού για να προσθέσετε όλες τις εφαρμογές.

Καταχωρίσεις μητρώου – Ο κανόνας θα χρησιμοποιηθεί μόνο εάν η λειτουργία σχετίζεται με αυτό τον προορισμό. Επιλέξτε Συγκεκριμένες καταχωρίσεις από το αναπτυσσόμενο μενού και κάντε κλικ στο στοιχείο Προσθήκη για να συμπληρώσετε τον κανόνα μη αυτόματα, ή μπορείτε να κάνετε κλικ στο στοιχείο Άνοιγμα Επεξεργαστή Μητρώου για να επιλέξετε ενα κλειδί από το Μητρώο. Επίσης, μπορείτε να επιλέξετε Όλες οι καταχωρίσεις από το αναπτυσσόμενο μενού, για να προσθέσετε όλες τις εφαρμογές.

note

Ορισμένες λειτουργίες συγκεκριμένων κανόνων που είναι προκαθορισμένες από το HIPS δεν είναι δυνατόν να αποκλειστούν και επιτρέπονται από προεπιλογή. Επιπλέον, δεν παρακολουθούνται όλες οι λειτουργίες συστήματος από το HIPS. Το HIPS παρακολουθεί λειτουργίες που μπορεί να θεωρούνται μη ασφαλείς.

Περιγραφές σημαντικών λειτουργιών:

Λειτουργίες αρχείων

Διαγραφή αρχείου – Η εφαρμογή ζητά άδεια για να διαγράψει το αρχείο προορισμού.

Εγγραφή σε αρχείο – Η εφαρμογή ζητά άδεια για να κάνει εγγραφή στο αρχείο προορισμού.

Άμεση πρόσβαση στο δίσκο – Η εφαρμογή προσπαθεί να διαβάσει από ή να γράψει στο δίσκο με μη τυπικό τρόπο, ο οποίος θα παρακάμψει συνηθισμένες διαδικασίες των Windows. Αυτό μπορεί να έχει σαν αποτέλεσμα τροποποίηση των αρχείων χωρίς την εφαρμογή αντίστοιχων κανόνων. Η λειτουργία αυτή μπορεί να προκληθεί από κακόβουλο λογισμικό που προσπαθεί να αποφύγει την ανίχνευση, από λογισμικό δημιουργίας αντιγράφων ασφαλείας που προσπαθεί να δημιουργήσει ένα ακριβές αντίγραφο δίσκου ή από μια εφαρμογή διαχείρισης διαμερισμάτων που προσπαθεί να αναδιοργανώσει τους τόμους του δίσκου.

Εγκατάσταση γενικού άγκιστρου – Αναφέρεται στην κλήση της λειτουργίας SetWindowsHookExαπό τη βιβλιοθήκη MSDN.

Φόρτωση προγράμματος οδήγησης – Εγκατάσταση και φόρτωση προγραμμάτων οδήγησης στο σύστημα.

Λειτουργίες εφαρμογών

Διόρθωση σφαλμάτων άλλης εφαρμογής – Επισύναψη εφαρμογής διόρθωσης σφαλμάτων στη διεργασία. Κατά τη διόρθωση σφαλμάτων μιας εφαρμογής, είναι δυνατή η προβολή και η τροποποίηση πολλών λεπτομερειών της συμπεριφοράς της, καθώς και η πρόσβαση στα δεδομένα της.

Διακοπή συμβάντων από άλλη εφαρμογή – Η εφαρμογή προορισμού προσπαθεί να πιάσει συμβάντα που έχουν στόχο μια συγκεκριμένη εφαρμογή (για παράδειγμα ένα πρόγραμμα καταγραφής πλήκτρων προσπαθεί να αποτυπώσει συμβάντα προγράμματος περιήγησης).

Τερματισμός/αναστολή άλλης εφαρμογής – Αναστολή, συνέχιση ή τερματισμός μιας διεργασίας (η πρόσβαση μπορεί να γίνει απευθείας από το παράθυρο Εξερεύνησης διεργασιών ή Διεργασιών).

Έναρξη νέας εφαρμογής – Έναρξη νέων εφαρμογών ή διεργασιών.

Τροποποίηση κατάστασης άλλης εφαρμογής – Η εφαρμογή προέλευσης προσπαθεί να κάνει εγγραφή στη μνήμη των εφαρμογών προορισμού ή να εκτελέσει κώδικα για λογαριασμό της. Αυτή η λειτουργικότητα μπορεί να είναι χρήσιμη για την προστασία μιας απαραίτητης εφαρμογής αν τη διαμορφώσετε ως εφαρμογή προορισμού σε έναν κανόνα που αποκλείει τη χρήση αυτής της λειτουργίας.

note

Δεν είναι δυνατόν να διακοπούν λειτουργίες επεξεργασίας στην έκδοση 64-bit των Windows XP.

Λειτουργίες μητρώου

Τροποποίηση ρυθμίσεων εκκίνησης – Οποιεσδήποτε αλλαγές ρυθμίσεων που καθορίζουν ποιες εφαρμογές θα εκτελούνται κατά την εκκίνηση των Windows. Αυτές βρίσκονται, για παράδειγμα, με αναζήτηση για κλειδί Run στο Μητρώο των Windows.

Διαγραφή από το μητρώο – Διαγραφή ενός κλειδιού ή της τιμής μητρώου.

Μετονομασία κλειδιού μητρώου – Μετονομασία κλειδιών μητρώου.

Τροποποίηση μητρώου – Δημιουργία νέων τιμών κλειδιών μητρώου, αλλαγή υφιστάμενων τιμών, μετακίνηση δεδομένων στο δέντρο βάσης δεδομένων ή ρύθμιση δικαιωμάτων χρηστών ή ομάδων για κλειδιά μητρώου.

note

Μπορείτε να χρησιμοποιήσετε ειδικούς χαρακτήρες με ορισμένους περιορισμούς όταν εισαγάγετε έναν προορισμό. Αντί για ένα συγκεκριμένο κλειδί, μπορεί να χρησιμοποιηθεί το σύμβολο * (αστερίσκος) σε διαδρομές μητρώου. Για παράδειγμα το HKEY_USERS\*\software μπορεί να σημαίνει HKEY_USER\.default\software αλλά όχι HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. Το HKEY_LOCAL_MACHINE\system\ControlSet* δεν είναι έγκυρη διαδρομή κλειδιού μητρώου. Μια διαδρομή κλειδιού μητρώου που περιέχει \* καθορίζει «αυτή τη διαδρομή, ή οποιαδήποτε διαδρομή σε οποιοδήποτε επίπεδο μετά από αυτό το σύμβολο». Αυτός είναι ο μόνος τρόπος χρήσης των ειδικών συμβόλων για αρχεία προορισμού. Πρώτα θα αξιολογηθεί το συγκεκριμένο μέρος μιας διαδρομής, μετά η διαδρομή που ακολουθεί το ειδικό σύμβολο (*).

warning

Εάν δημιουργήσετε έναν πολύ γενικό κανόνα, θα εμφανιστεί η προειδοποίηση σχετικά με αυτό τον τύπο κανόνα.

Στο παρακάτω παράδειγμα, καταδεικνύεται πώς μπορείτε να περιορίσετε την ανεπιθύμητη συμπεριφορά μιας συγκεκριμένης εφαρμογής:

1.Ονομάστε τον κανόνα και επιλέξτε ΑποκλεισμόςΕρώτηση εάν προτιμάτε να επιλέξετε αργότερα) από το αναπτυσσόμενο μενού Ενέργεια.

2.Επιλέξτε το διακόπτη που βρίσκεται δίπλα στο στοιχείο Ειδοποίηση χρήστη για να εμφανίζεται ειδοποίηση κάθε φορά που εφαρμόζεται ένας κανόνας.

3.Επιλέξτε τουλάχιστον μία λειτουργία στην ενότητα Λειτουργίες που επηρεάζονται στην οποία θα εφαρμοστεί ο κανόνας.

4.Κάντε κλικ στο στοιχείο Επόμενο.

5.Στο παράθυρο Εφαρμογές προέλευσης, επιλέξτε Συγκεκριμένες εφαρμογές από το αναπτυσσόμενο μενού, για να εφαρμόσετε τον νέο κανόνα σε όλες τις εφαρμογές που επιχειρούν να πραγματοποιήσουν οποιαδήποτε από τις επιλεγμένες λειτουργίες στις εφαρμογές που καθορίσατε.

6.Κάντε κλικ στο στοιχείο Προσθήκη και, στη συνέχεια, στο στοιχείο ... για να επιλέξετε μια διαδρομή σε μια συγκεκριμένη εφαρμογή, και μετά πατήστε το στοιχείο OK. Εάν θέλετε, προσθέστε περισσότερες εφαρμογές.
Για παράδειγμα: C:\Program Files (x86)\Untrusted application\application.exe

7.Επιλέξτε τη λειτουργία Εγγραφή σε αρχείο.

8.Επιλέξτε το στοιχείο Όλα τα αρχεία από το αναπτυσσόμενο μενού. Αυτό θα αποκλείσει οποιεσδήποτε προσπάθειες εγγραφής σε οποιαδήποτε αρχεία από τις εφαρμογές που επιλέξατε στο προηγούμενο βήμα.

9.Κάντε κλικ στο κουμπί Τέλος για να αποθηκεύσετε τον νέο κανόνα.

CONFIG_HIPS_RULES_EXAMPLE