ESET-ova online pomoć

Traži Hrvatski
Odaberite temu

Uredite HIPS pravilo

Prvo pogledajte upravljanje HIPS pravilima.

Naziv pravila – Korisnički definiran ili automatski odabran naziv pravila.

Radnja – Specificira radnju – Dopusti, Blokiraj ili Pitaj – koja će se provesti ako se zadovolje uvjeti.

Operacije na koje se pravilo odnosi – Morate odabrati vrstu operacije na koje će se pravilo primijeniti. Pravilo će se koristiti samo za tu vrstu operacije i za odabrani cilj.

Aktivirano – deaktivirajte klizač ako želite zadržati pravilo na popisu, ali ne i primijeniti ga.

Razina ozbiljnosti za vođenje dnevnika – Ako aktivirate ovu opciju, informacije o ovom pravilu bit će zapisane u HIPS dnevnik.

Obavijesti korisnika – u donjem desnom kutu prikazat će se mali prozor obavijesti ako se pokrene događaj.

Pravilo se sastoji od tri dijela koji opisuju uvjete koji pokreću to pravilo:

Izvorne aplikacije – Pravilo će se upotrebljavati samo ako je događaj pokrenula ova aplikacija/aplikacije. S padajućeg izbornika odaberite Specifične aplikacije i kliknite Dodaj ako želite dodati nove datoteke ili s padajućeg izbornika odaberite Sve aplikacije ako želite dodati sve aplikacije.

Ciljne datoteke – Pravilo će se upotrebljavati samo ako se operacija odnosi na taj objekt. S padajućeg izbornika odaberite Specifične datoteke i kliknite Dodaj ako želite dodati nove datoteke ili mape ili s padajućeg izbornika odaberite Sve datoteke ako želite dodati sve datoteke.

Aplikacije – Pravilo će se koristiti samo ako se operacija odnosi na taj objekt. S padajućeg izbornika odaberite specifične aplikacije i kliknite Dodaj ako želite dodati nove datoteke ili mape ili s padajućeg izbornika odaberite sve aplikacije ako želite dodati sve aplikacije.

Unosi u registar – Pravilo će se koristiti samo ako se operacija odnosi na taj objekt. S padajućeg izbornika odaberite Specifični unosi i kliknite Dodaj za ručno upisivanje ili kliknite Uređivač otvorenog registra za odabir ključa iz Registra. Osim toga, možete odabrati stavku Svi unosi s padajućeg izbornika da biste dodali sve aplikacije.


note

Neke operacije specifičnih pravila koje su unaprijed definirane značajkom HIPS ne mogu se blokirati i dopuštene su prema standardnim postavkama. Nadalje, HIPS ne nadzire sve operacije sustava. HIPS nadzire operacije koje se mogu smatrati nesigurnima.

Opisi važnih operacija:

Operacije datoteke

Izbriši datoteku – Aplikacija traži dopuštenje za brisanje ciljane datoteke.

Piši u datoteku – Aplikacija traži dopuštenje za zapisivanje u ciljanu datoteku.

Izravan pristup disku – Aplikacija pokušava očitati podatke s diska ili zapisivati na disk na nestandardan način koji zaobilazi uobičajene procedure sustava Windows. To može rezultirati izmjenom datoteka bez primjene odgovarajućih pravila. Tu operaciju može uzrokovati zlonamjerni softver koji pokušava izbjeći otkrivanje, softver za sigurnosno kopiranje koji pokušava napraviti točnu kopiju diska ili upravitelj particije koji pokušava reorganizirati podatke na disku.

Instaliraj globalnu kuku – Odnosi se na pozivanje funkcije SetWindowsHookEx iz biblioteke MSDN.

Učitaj upravljački program – Instalacija i učitavanje upravljačkih programa u sustav.

Operacije aplikacija

Ukloni pogreške druge aplikacije – Prilaganje programa za uklanjanje pogrešaka u proces. Tijekom uklanjanja pogrešaka aplikacije mnoge pojedinosti tog ponašanja mogu se pregledati i izmijeniti te se može pristupiti podacima.

Presretni događaje iz druge aplikacije – Izvorna aplikacija pokušava uhvatiti događaje koji su usmjereni na određenu aplikaciju (na primjer, keylogger koji pokušava zabilježiti događaje preglednika).

Zatvori/obustavi drugu aplikaciju – Obustava, nastavak ili zatvaranje procesa (izravan pristup moguć iz značajke Process Explorer ili okna Procesi).

Pokreni novu aplikaciju – Pokretanje novih aplikacija ili procesa.

Preinači stanje druge aplikacije – Izvorna aplikacija pokušava zapisivati u memoriju ciljanih aplikacija ili u njihovo ime pokrenuti kôd. Ta funkcija može biti korisna za zaštitu ključne aplikacije koje se mogu konfigurirati kao ciljne aplikacije u pravilu koje blokira korištenje te operacije.

Operacije registra

Promijeni postavke pokretanja – Bilo koja promjena postavki koja definira koje će se aplikacije pokrenuti prilikom pokretanja sustava Windows. One se mogu pronaći ako se, na primjer, potraži ključ Run u registru sustava Windows.

Izbriši iz registra – Brisanje ključa registra ili njegove vrijednosti.

Promijeni naziv ključa registra – Mijenja naziv ključeva registra.

Izmijeni registar – Stvaranje novih vrijednosti ključeva registra, promjena postojećih vrijednosti, premještanje podataka na stablu baze podataka ili postavljanje korisničkih ili grupnih prava za ključeve registra.


note

Prilikom unosa cilja možete koristiti zamjenske znakove uz određena ograničenja. Umjesto određenog ključa, u putovima registra može se koristiti simbol * (zvjezdica). Na primjer, HKEY_USERS\*\software može značiti HKEY_USER\.default\software, no ne i HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* nije valjani put ključa registra. Put ključa registra koji sadrži \* znači "ovaj put ili bilo koji put na bilo kojoj razini nakon tog simbola". To je jedini način korištenja zamjenskih znakova u ciljnim datotekama. Prvo će se procijeniti specifičan dio puta, a zatim put koji se nalazi iza zamjenskog znaka (*).


warning

Ako stvorite preopćenito pravilo, prikazat će se upozorenje za tu vrstu pravila.

U sljedećem primjeru pokazat ćemo kako ograničiti neželjeno ponašanje određene aplikacije:

1.Unesite naziv pravila i odaberite Blokiraj (ili Pitaj ako želite odabrati kasnije) s padajućeg izbornika Radnja.

2.Aktivirajte klizač pored stavke Obavijesti korisnika da bi se prikazala obavijest svaki put kada se primijeni pravilo.

3.Odaberite barem jednu operaciju u odjeljku Operacije koje utječu na sljedeće objekte na koje će se primjenjivati pravilo.

4.Kliknite Dalje.

5.U prozoru Izvorne aplikacije na padajućem izborniku odaberite Određene aplikacije kako biste novo pravilo primijenili na sve aplikacije koje pokušavaju izvršiti bilo koju od odabranih operacija aplikacije na aplikacijama koje ste odredili.

6.Kliknite Dodaj i zatim ... da biste odabrali put do određene aplikacije i zatim pritisnite U redu. Dodajte više aplikacija ako želite.
Na primjer: C:\Program Files (x86)\Untrusted application\application.exe

7.Odaberite operaciju Pisanje u datoteku.

8.Odaberite Sve datoteke u padajućem izborniku. Time ćete blokirati sve pokušaje aplikacija odabranih u prethodnom koraku da pišu u bilo koje datoteke.

9.Kliknite Završi da biste spremili novo pravilo.

CONFIG_HIPS_RULES_EXAMPLE