ความช่วยเหลือออนไลน์ ESET

เลือกหัวข้อ

แก้ไขกฎ HIPS

ดู การจัดการกฎ HIPS ก่อน

ชื่อกฎ – ชื่อกฎที่ผู้ใช้กำหนดหรือเลือกโดยอัตโนมัติ

การทำงาน – ระบุการทำงาน – อนุญาต ปิดกั้น หรือ ถาม – ที่ควรดำเนินการถ้าเป็นไปตามเงื่อนไข

การดำเนินการที่ได้ผล – คุณต้องเลือกประเภทของการดำเนินการที่กฎจะนำมาปรับใช้ ระบบจะใช้กฎนี้ำเฉพาะสำหรับการดำเนินการประเภทนี้เท่านั้นและสำหรับเป้าหมายที่เลือก

เปิดใช้งาน – ปิดใช้งานปุ่มสลับนี้หากคุณต้องการคงกฎไว้ในรายการแต่ไม่ปรับใช้

ความละเอียดของการบันทึก – ถ้าคุณเปิดใช้งานตัวเลือกนี้ ข้อมูลเกี่ยวกับกฎนี้จะถูกเขียนไปที่ บันทึก HIPS

แจ้งเตือนผู้ใช้ – หน้าต่างแจ้งเตือนขนาดเล็กจะปรากฏที่มุมขวาล่าง หากมีการเรียกเหตุการณ์

กฎประกอบด้วยส่วนต่างๆ ซึ่งจะอธิบายเงื่อนไขที่เรียกใช้งานกฎนี้:

แอพพลิเคชันที่มา– ระบบจะใช้กฎนี้ก็ต่อเมื่อแอพพลิเคชันเรียกใช้เหตุการณ์ เลือก แอพพลิเคชันที่เจาะจง จากเมนูแบบเลื่อนลงและคลิก เพิ่ม เพื่อเพิ่มไฟล์ หรือคุณสามารถเลือก ทุกแอพพลิเคชัน จากเมนูแบบเลื่อนลงเพื่อเพิ่มแอพพลิเคชันทั้งหมด

ไฟล์เป้าหมาย – ระบบจะใช้กฎนี้ก็ต่อเมื่อการดำเนินการเกี่ยวข้องกับเป้าหมายนี้ เลือก ไฟล์ที่เจาะจง จากเมนูแบบเลื่อนลงและคลิก เพิ่ม เพื่อเพิ่มไฟล์หรือโฟลเดอร์ใหม่ หรือคุณสามารถเลือก ไฟล์ทั้งหมด จากเมนูแบบเลื่อนลงเพื่อเพิ่มไฟล์ทั้งหมด

แอพพลิเคชัน – ระบบจะใช้กฎนี้ก็ต่อเมื่อการดำเนินการเกี่ยวข้องกับเป้าหมายนี้ เลือก แอพพลิเคชันที่เจาะจง จากเมนูแบบเลื่อนลงและคลิก เพิ่ม เพื่อเพิ่มไฟล์หรือโฟลเดอร์ใหม่ หรือคุณสามารถเลือก ทุกแอพพลิเคชัน จากเมนูแบบเลื่อนลงเพื่อเพิ่มแอพพลิเคชันทั้งหมด

รายการรีจิสตรี – ระบบจะใช้กฎนี้ต่อเมื่อการดำเนินการเกี่ยวข้องกับเป้าหมายนี้ เลือก รายการเฉพาะ จากเมนูแบบเลื่อนลงแล้วคลิก เพิ่ม เพื่อป้อนข้อมูลด้วยตัวเอง หรือคุณสามารถคลิก เปิดตัวแก้ไขรีจิสตรี เพื่อเลือกรหัสจากรีจิสตรี นอกจากนี้ คุณยังสามารถเลือก รายการทั้งหมด จากเมนูแบบเลื่อนลงเพื่อเพิ่มแอพพลิเคชันทั้งหมดได้


note

การดำเนินการของกฎบางอย่างที่กำหนดไว้ล่วงหน้าโดย HIPS จะไม่สามารถปิดกั้นหรืออนุญาตได้ตามค่าเริ่มต้น นอกจากนี้ HIPS จะไม่ตรวจสอบการดำเนินการทั้งหมดของระบบ HIPS ตรวจสอบการดำเนินการที่อาจพิจารณาว่าไม่ปลอดภัย

คำอธิบายของการดำเนินการที่สำคัญ:

การดำเนินการของไฟล์

ลบไฟล์ – แอพพลิเคชันจะสอบถามเกี่ยวกับการอนุญาตให้ลบไฟล์เป้าหมาย

เขียนไปยังไฟล์ – แอพพลิเคชันจะสอบถามเกี่ยวกับการอนุญาตให้เขียนไฟล์เป้าหมาย

การเข้าถึงดิสก์โดยตรง – แอพพลิเคชันจะพยายามอ่านจากหรือเขียนไปยังดิสก์ด้วยวิธีที่ไม่เป็นมาตรฐาน ซึ่งจะหลีกเลี่ยงขั้นตอนทำงานทั่วไปของ Windows ซึ่งอาจส่งผลให้ไฟล์ได้รับการแก้ไขโดยไม่ใช้แอพพลิเคชันของกฎที่สอดคล้องกัน การดำเนินการนี้อาจมีสาเหตุจากการที่มัลแวร์พยายามหลบเลี่ยงการตรวจหา ซอฟต์แวร์สำรองข้อมูลพยายามที่จะทำสำเนาของดิสก์ หรือโปรแกรมจัดการพาร์ติชันพยายามจัดระเบียบไดรฟ์ข้อมูลของดิสก์ใหม่

ติดตั้งฮุคร่วม – อ้างถึงการเรียกฟังก์ชัน SetWindowsHookEx จากไลบรารี MSDN

โหลดไดรเวอร์ – การติดตั้งและการโหลดไดรเวอร์ลงในระบบ

การดำเนินการของแอพพลิเคชัน

แก้ไขแอพพลิเคชันอื่น – การใส่เครื่องมือแก้ไขปัญหาในการดำเนินการ ในขณะที่มีการแก้ไขปัญหาของแอพพลิเคชัน ระบบจะตรวจสอบและแก้ไขรายละเอียดต่างๆ ของการทำงาน และจะมีการเข้าถึงข้อมูลการทำงาน

ดักฟังเหตุการณ์จากแอพพลิเคชันอื่น – แอพพลิเคชันที่มาจะพยายามตรวจจับเหตุการณ์ที่มีการกำหนดเป้าหมายไปยังแอพพลิเคชันเฉพาะ (ตัวอย่างเช่น เครื่องมือบันทึกการกดแป้นพิมพ์ที่พยายามตรวจจับเหตุการณ์ของเบราว์เซอร์)

สิ้นสุด/พักการทำงานแอพพลิเคชันอื่น – การพัก การทำงานต่อ หรือการสิ้นสุดกระบวนการ (สามารถเข้าถึงได้โดยตรงจากช่อง Process Explorer หรือ Processes)

เริ่มต้นแอพพลิเคชันใหม่ – การเริ่มต้นแอพพลิเคชันหรือกระบวนการใหม่

แก้ไขสถานะของแอพพลิเคชันอื่น – แอพพลิเคชันที่มาจะพยายามเขียนข้อมูลไปยังหน่วยความจำของแอพพลิเคชันเป้าหมายหรือเรียกใช้รหัสในนามของตนเอง ฟังก์ชันการทำงานนี้อาจเป็นประโยชน์เพื่อป้องกันแอพพลิเคชันสำคัญ ด้วยการกำหนดค่าเป็นแอพพลิเคชันเป้าหมายในกฎที่ปิดกั้นการใช้การดำเนินการนี้

การดำเนินการของรีจิสตรี

แก้ไขการตั้งค่าการเริ่มต้น – การเปลี่ยนแปลงในการตั้งค่า ซึ่งกำหนดแอพพลิเคชันที่จะถูกเรียกใช้เมื่อเริ่มต้น Windows ซึ่งจะสามารถพบได้ เช่น จากการค้นหารหัส Run ใน Windows Registry

ลบจากรีจิสตรี – การลบรหัสรีจิสตรีหรือค่าของรหัสรีจิสตรี

เปลี่ยนชื่อรหัสรีจิสตรี – การเปลี่ยนชื่อรหัสรีจิสตรี

แก้ไขรีจิสตรี – การสร้างค่าใหม่ของรหัสรีจิสตรี การเปลี่ยนค่าที่มีอยู่ การย้ายข้อมูลในโครงสร้างฐานข้อมูล หรือการตั้งค่าสิทธิ์ของผู้ใช้หรือกลุ่มสำหรับรหัสรีจิสตรี


note

คุณสามารถใช้สัญลักษณ์แทนที่มีข้อจำกัดบางอย่างเมื่อป้อนเป้าหมาย แทนที่จะใช้รหัสหนึ่ง ระบบจะใช้สัญลักษณ์ * (ดอกจัน) ในพาธของรีจิสตรี ตัวอย่างเช่น HKEY_USERS\*\software สามารถหมายถึง HKEY_USER\.default\software แต่ไม่ใช่ HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software HKEY_LOCAL_MACHINE\system\ControlSet* ไม่ใช่พาธของรหัสรีจิสตรีที่ถูกต้อง พาธของรหัสรีจิสตรีที่มี \* หมายความว่า "พาธนี้หรือพาธใดๆ ในระดับใดก็ได้อยู่หลังสัญลักษณ์นี้" วิธีการนี้เป็นวิธีการเดียวในการใช้สัญลักษณ์แทนสำหรับเป้าหมายไฟล์ ขั้นแรก ระบบจะประเมินพาธบางส่วนก่อน จากนั้นจะประเมินพาธที่อยู่หลังสัญลักษณ์แทน (*)


warning

หากคุณสร้างกฎที่กว้างมาก คำเตือนเกี่ยวกับกฎประเภทนี้จะปรากฎขึ้น

ในตัวอย่างต่อไปนี้ เราจะสาธิตวิธีจำกัดการทำงานที่ไม่พึงประสงค์ของแอพพลิเคชันที่ระบุ:

1.ตั้งชื่อกฎและเลือกปิดกั้น (หรือ ถาม หากคุณต้องการหรือเลือกภายหลัง) จากเมนูการทำงาน แบบเลื่อนลง

2.เลือกแถบตัวเลื่อนที่อยู่ถัดจาก แจ้งเตือนผู้ใช้ เพื่อแสดงการแจ้งเตือนเมื่อมีการนำกฎไปใช้

3.เลือกการดำเนินการอย่างน้อยหนึ่งอย่าง ในส่วนการดำเนินการที่ได้ผล ว่าจะใช้กฎใด

4.คลิกถัดไป

5.ในหน้าต่าง แอพพลิเคชันที่มา เลือก แอพพลิเคชันที่เจาะจง จากเมนูแบบเลื่อนลงเพื่อใช้กฎใหม่กับแอพพลิเคชันทั้งหมดที่พยายามจะทำงานกับแอพพลิเคชันที่เลือกไว้บนแอพพลิเคชันที่คุณระบุ

6.คลิกเพิ่ม และ ... เพื่อเลือกพาธไปยังแอพพลิเคชันที่เจาะจง แล้วกดตกลง เพิ่มแอพพลิเคชันหากคุณต้องการ
ตัวอย่างเช่น: C:\Program Files (x86)\Untrusted application\application.exe

7.เลือกเขียนข้อมูลในไฟล์ การทำงาน

8.เลือกไฟล์ทั้งหมด จากเมนูแบบเลื่อนลง วิธีนี้จะปิดกั้นความพยายามใดๆ เพื่อเขียนไฟล์โดยแอพพลิเคชันที่เลือกไว้จากขั้นตอนก่อนหน้านี้

9.คลิก เสร็จสิ้น เพื่อบันทึกกฎใหม่ของคุณ

CONFIG_HIPS_RULES_EXAMPLE