HIPS 规则设置
此窗口向您提供了现有 HIPS 规则的概览。
规则 |
用户定义或自动选择的规则名称。 |
|---|---|
已启用 |
如果要将规则保留在列表中但不想使用,可停用此开关。 |
操作 |
该规则指定条件正确的情况下应执行的一项操作:允许、阻止或询问。 |
来源 |
仅当事件由应用程序触发时才使用该规则。 |
目标 |
仅当操作与特定文件、应用程序或注册表项相关时才使用该规则。 |
日志严重级别 |
如果启用此选项,有关此规则的信息将写入到 HIPS 日志中。 |
通知 |
如果触发事件,则 Windows 通知区域将显示一个小窗口。 |
创建新规则,单击添加新 HIPS 规则或编辑所选条目。
规则名称
用户定义或自动选择的规则名称。
操作
该规则指定条件正确的情况下应执行的一项操作:允许、阻止或询问。
操作影响
必须选择将要应用该规则的操作的类型。该规则将仅用于此类型的操作和所选目标。该规则包含的各部分描述触发此规则的条件。
源应用程序
仅当事件由此应用程序触发时才使用该规则。从下拉菜单中选择特定应用程序,然后单击添加以添加新文件或文件夹,还可以从下拉菜单中选择所有应用程序以添加所有应用程序。
|
无法阻止 HIPS 预定义特定规则的一些操作,默认为允许这些操作。此外,HIPS 并不监视所有系统操作。HIPS 监视视为不安全的操作。 |
重要操作的说明:
文件操作
删除文件 |
应用程序要求获得删除目标文件的权限。 |
|---|---|
写入到文件 |
应用程序要求获得写入到目标文件的权限。 |
直接访问磁盘 |
应用程序尝试以将绕过常见 Windows 过程的非标准方式读取或写入磁盘。这可能导致修改文件,而不应用相应规则。尝试逃避检测的恶意软件、尝试精确复制磁盘的备份软件或者尝试重新组织磁盘卷的分区管理器都可能导致执行此操作。 |
安装全局挂钩 |
指从 MSDN 库调用 SetWindowsHookEx 功能。 |
加载驱动程序 |
在系统上安装和加载驱动程序。 |
仅当操作与此目标相关时才使用该规则。从下拉菜单中选择特定文件,然后单击添加以添加新的文件或文件夹。还可以从下拉菜单中选择所有文件以添加所有应用程序。
应用程序操作
调试另一个应用程序 |
将调试程序附加到进程。调试应用程序时,可以查看和修改其行为的许多详细信息,还可以访问其数据。 |
|---|---|
拦截其他应用程序的事件 |
源应用程序尝试捕获针对特定应用程序的事件(例如,尝试捕获浏览器事件的按键记录程序)。 |
终止/暂停其他应用程序 |
暂停、恢复或中止进程(可以直接从进程浏览器或进程窗口访问)。 |
启动新应用程序 |
正在启动新应用程序或进程。 |
修改其他应用程序的状态 |
源应用程序尝试写入目标应用程序的内存,或运行自己的代码。在阻止使用此操作的规则中将其配置为目标应用程序,从而保护重要应用程序时此功能可能很有用。 |
仅当操作与此目标相关时才使用该规则。从下拉菜单中选择特定应用程序,然后单击添加以添加新的文件或文件夹。还可以从下拉菜单中选择所有应用程序以添加所有应用程序。
注册表操作
修改启动设置 |
对定义哪些应用程序将随 Windows 启动而运行的设置进行更改。例如,可以通过在 Windows 注册表中搜索“运行键”来找到这些信息。 |
|---|---|
从注册表删除 |
删除注册表项或其值。 |
重命名注册表键 |
重命名注册表项。 |
修改注册表 |
创建注册表项的新值、更改现有值、在数据库树中移动数据,或设置注册表项的用户或组权限。 |
仅当操作与此目标相关时才使用该规则。从下拉菜单中选择特定条目,然后单击添加以添加新的文件或文件夹。还可以从下拉菜单中选择所有条目以添加所有应用程序。
|
输入目标时,可以将通配符与某些限制结合使用。注册表路径中可以使用 *(星号)符号代替特定项。例如,HKEY_USERS\*\software can mean HKEY_USER\.default\software,但不可以表示为 HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software。HKEY_LOCAL_MACHINE\system\ControlSet* 不是有效的注册表项路径。包含 \* 的注册表项路径定义“此路径,或在该符号后任意级别上的任意路径”。这是将通配符用于文件目标的唯一方式。首先,将评估路径的特定部分,然后是通配符符号 (*) 后的路径。 |
|
如果您创建过于通用的规则,可能会收到通知。 |
