HIPS taisyklės redagavimas
Pirmiausia perskaitykite HIPS taisyklių valdymas.
Taisyklės pavadinimas – vartotojo pasirinktas arba automatiškai sukurtas taisyklės pavadinimas.
Veiksmas – nurodomas veiksmas – Leisti, Blokuoti arba Klausti – kuris turi būti atliekamas, kai tenkinamos nustatytos sąlygos.
Susijusios operacijos – turite pasirinkti operacijų tipą, kuriam bus taikoma taisyklė. Taisyklė bus naudojama tik šio tipo operacijoms ir pasirinktam tikslui.
Įjungta – išjunkite perjungiklį, jei taisyklę norite išlaikyti sąraše, bet nenorite jos taikyti.
Registravimo svarbumas – jei suaktyvinsite šią parinktį, informacija apie šią taisyklę bus įrašyta į HIPS žurnalą.
Pranešti naudotojui – suaktyvinus veiksmą apatiniame dešiniajame kampe pasirodys mažas pranešimo langas.
Taisyklė sudaryta iš dalių, kurios apibūdina sąlygas, įjungiančias šią taisyklę:
Šaltinio programos– taisyklė bus naudojama, tik jei įvykį paleidžia ši (šios) programa (-os). Išskleidžiamajame meniu pasirinkite Konkrečios programos ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visos programos ir pridėti visas programas.
Tiksliniai failai – taisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkretūs failai ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visi failai ir pridėti visus failus.
Programos– taisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkrečios programos ir spustelėkite Pridėti, kad pridėtumėte naujų failų ar aplankų, arba išskleidžiamajame meniu galite pasirinkti Visos programos ir pridėti visas programas.
Registro įrašai– taisyklė bus naudojama, tik jei operacija bus susijusi su šiuo tikslu. Išskleidžiamajame meniu pasirinkite Konkretūs įrašai ir spustelėkite Pridėti, kad įvestumėte rankiniu būdu, arba spustelėkite Atidaryti registro rengyklę, kad pasirinktumėte raktą iš registro. Be to, išskleidžiamajame meniu galite pasirinkti Visi įrašai, kad pridėtumėte visas programas.
Kai kurios tam tikrų taisyklių iš anksto HIPS nustatytos operacijos negali būti užblokuotos ir yra leidžiamos pagal numatytuosius nustatymus. Be to, ne visos sistemos operacijos yra stebimos HIPS. HIPS stebi operacijas, kurios gali būti laikomos nesaugiomis. |
Svarbių operacijų aprašai:
Failų operacijos
•Naikinti failą – taikomoji programa prašo leidimo naikinti tikslo failą.
•Rašyti į failą – programa prašo leidimo rašyti į tikslo failą.
•Tiesioginė prieiga prie disko – programa bando skaityti arba rašyti į diską nestandartiniu būdu, apeidama įprastas Windows procedūras. Taip gali būti modifikuojami failai netaikant atitinkamų taisyklių. Šią operaciją galima atlikti, kai kenkėjiška programa bando išvengti aptikimo, atsarginio saugojimo programinė įranga bando padaryti tikslią disko kopiją arba skaidinių tvarkyklė bando pertvarkyti disko tomus.
•Diegti visuotinę trikčių gaudyklę – susijusi su funkcija SetWindowsHookEx iš MSDN bibliotekos.
•Įkelti tvarkyklę – tvarkyklių diegimas ir įkėlimas į sistemą.
Programų operacijos
•Derinti kitą programą – derinimo modulis prijungiamas prie proceso. Derinant taikomąją programą galima peržiūrėti ir pakeisti daugelį jos veikimo detalių ir prieiti prie jos duomenų.
•Sustabdyti kitų programų įvykiai – šaltinio programa bando perimti įvykius, nukreiptus į konkrečią programą (pavyzdžiui, klaviatūros paspaudimų registravimo programa bando įrašyti naršyklės įvykius).
•Nutraukti / laikinai sustabdyti kitą taikomąją programą – laikinai sustabdo, tęsia arba nutraukia procesą (galima prieiga tiesiai iš „Process Explorer“ arba iš procesų polangio).
•Pradėti naują taikomąją programą – naujų programų arba procesų paleidimas.
•Modifikuoti kitos programos būseną – šaltinio programa bando rašyti į tikslo programos atmintį arba vykdyti kodą jos vardu. Ši funkcija gali būti naudinga norint apsaugoti svarbią programą konfigūruojant ją kaip tikslo programą taisyklėje, blokuojančioje šios operacijos naudojimą.
Registrų operacijos
•Modifikuoti paleidimo parametrus – visi parametrų, nurodančių, kurios programos bus vykdomos paleidžiant „Windows“, keitimai. Jie gali būti aptikti, pavyzdžiui, ieškant Run rakto „Windows“ registre.
•Naikinti iš registro – registro rakto arba jo reikšmės naikinimas.
•Pervardyti registro raktą – registrų raktų pervardijimas.
•Keisti registrą – kuriamos naujos registro rakto reikšmės, keičiamos esamos reikšmės, duomenys perkeliami į duomenų bazės medį arba nustatomos vartotojo ar grupės teisės registro raktams.
Įvesdami tikslą galite su tam tikrais ribojimais naudoti pakaitos simbolius. Vietoje konkretaus rakto registro kelyje galima naudoti simbolį „*“ (žvaigždutę). Pavyzdžiui, HKEY_USERS\*\software gali reikšti HKEY_USER\.default\software, bet ne HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* yra negaliojantis registro rakto kelias. Registro rakto kelias, turintis „\*“, reiškia „šis kelias arba bet koks kelias bet kuriame lygyje už šio simbolio“. Tai vienintelis būdas naudoti failų tikslų pakaitos simbolius. Pirmiausia bus įvertinama konkreti kelio dalis, tada kelias už pakaitos simbolio (*). |
Jei sukursite labai bendrą taisyklę, bus parodytas įspėjimas apie šio tipo taisyklę. |
Šiame pavyzdyje parodysime, kaip uždrausti nepageidaujamus konkrečios programos veiksmus:
1.Pavadinkite taisyklę ir pasirinkite Blokuoti (arba Klausti, jei norite pasirinkti vėliau) išskleidžiamajame meniu Veiksmas.
2.Įjunkite perjungiklį prie Pranešti naudotojui, kad pranešimas būtų rodomas kaskart pritaikius taisyklę.
3.Pasirinkite bent vieną operaciją dalyje Aktualios operacijos, kurioms bus taikoma taisyklė.
4.Spustelėkite Kitas.
5.Lango Šaltinio programos išskleidžiamajame meniu pasirinkite Konkrečios programos, kad naują taisyklę pritaikytumėte visoms programoms, kurios bandys atlikti kurią nors iš pasirinktų programų operacijų.
6.Spustelėkite Pridėti ir ..., kad pasirinktumėte konkrečios programos kelią, ir paspauskite Gerai. Jei norite, įtraukite daugiau programų.
Pavyzdžiui: C:\Program Files (x86)\Untrusted application\application.exe
7.Pasirinkite operaciją Rašyti į failą.
8.Išskleidžiamajame meniu pasirinkite Visi failai. Taip užblokuosite ankstesniu veiksmu pasirinktos programos (-ų) bandymus įrašyti į failus.
9.Spustelėkite Baigti, kad naują taisyklę įrašytumėte.