ESET онлайн анықтамасы

Тақырыпты таңдаңыз

HIPS Ережесін өңдеу

Алдымен HIPS ережесін басқару бөлімін қараңыз.

Ереже атауы – Пайдаланушылық немесе автоматты түрде таңдалған ереже аты.

Әрекет – Шарттар орындалса, орындалатын әрекетті – Рұқсат ету, Блоктау немесе Сұрау – көрсетеді.

Әсер етілетін әрекеттер – Ереже қолданылатын әрекет түрін таңдау керек. Ереже тек осы әрекет түрі және таңдалған нысан үшін пайдаланылады.

Қосылған — Ережені тізімде сақтау, бірақ қолданбау керек болса, осы ауыстырып қосқышты ажыратыңыз.

Журнал жүргізу қатаңдығы: – Осы опцияны белсендірсеңіз, осы ереже туралы ақпарат HIPS журналына жазылады.

Пайдаланушыға хабарлау — Оқиға іске қосылса, төменгі оң бұрышта шағын хабарландыру терезесі көрінеді.

Ереже үш бөліктен тұрады. Олар осы ережені бастайтын шарттарды сипаттайды.

Негізгі бағдарламалар – Ереже оқиға осы бағдарлама(лар) арқылы қадағаланса ғана пайдаланылады. Ашылмалы мәзірден Нақты қолданбалар параметрін таңдаңыз және жаңа файлдарды қосу үшін Қосу түймесін басыңыз, я болмаса, барлық қолданбаларды қосу үшін ашылмалы мәзірде Барлық қолданбалар тармағын таңдаңыз.

Мақсатты файлдар — Әрекет осы нысанға қатысты болған кезде ғана ереже пайдаланылады. Ашылмалы мәзірден Нақты файлдар опциясын таңдаңыз және жаңа файлдар не қалталар қосу үшін Қосу опциясын басыңыз немесе барлық файлдарды қосу үшін ашылмалы мәзірден Барлық файлдар опциясын таңдауға болады.

Қолданбалар – Ереже тек әрекет осы нысанаға қатысты болса ғана пайдаланылады. Ашылмалы мәзірден Нақты қолданбалар параметрін таңдаңыз және жаңа файлдарды немесе қалталарды қосу үшін Қосу түймесін басыңыз, я болмаса, барлық қолданбаларды қосу үшін ашылмалы мәзірде Барлық қолданбалар тармағын таңдаңыз.

Тізбе жазбалары – Ереже тек әрекет осы нысанаға қатысты болса ғана пайдаланылады. Ашылмалы мәзірде Нақты жазбалар тармағын таңдаңыз және оны қолмен теру үшін Қосу түймешігін басыңыз немесе тізбеден кілтті таңдау үшін Тізбе өңдегішін ашу түймешігін басуға болады. Сондай-ақ, барлық қолданбаларды қосу үшін ашылмалы мәзірден Барлық жазбалар параметрін таңдауға болады.


note

HIPS Алдын ала анықтаған белгілі бір ережелердің кейбір әрекеттерін бұғаттау мүмкін емес және әдепкі бойынша, оларға рұқсат етілген. Бұған қоса, HIPS арлық жүйе әрекеттерін бақыламайды. HIPS қауіпті деп санауға болатын әрекеттерді бақылайды.

Маңызды әрекеттердің сипаттамалары:

Файл әрекеттері

Файлды жою – Бағдарлама мақсатты файлды жоюға рұқсат сұрайды.

Файлға жазу – Бағдарлама мақсатты файлды жазуға рұқсат сұрайды.

Дискіге тікелей қатынасу – Бағдарлама стандартты емес, әдеттегі Windows процедурасын айналып өтетін жолмен дискіден оқиды немесе оған жазады. Бұл файлдардың сәйкес ережелерді қолданусыз өзгертілуіне әкелуі мүмкін. Бұл әрекетті анықтаудан жасырынғысы келетін зиянкес бағдарлама, дискінің дәл көшірмесін жасайтын сақтық көшірме жасау бағдарламасы немесе диск бөлімдерін қайта реттеуге тырысып жатқан бөлім реттеушісі тудыруы мүмкін.

Ғаламдық хукты орнату – MSDN кітапханасынан SetWindowsHookEx функциясын шақыруға қатысты.

Драйверді жүктеу - Жүйеге драйверлерді орнату және жүктеу.

Бағдарлама әрекеттері

Басқа бағдарламаны түзету - Процеске ақауды жою құралын бекіту. Бағдарламаны түзету кезінде оның әрекетінің көп мәліметтерін қарап, өзгертуге болады және оның деректеріне кіруге болады.

Басқа бағдарламаладан оқиғаларды ұстап алу - Негізгі бағдарлама нақты бағдарламаға бағытталған оқиғаларды ұстауға тырысуда (мысалы, кейлоггер браузер оқиғаларын жазуға тырысуда).

Басқа бағдарламаны аяқтау/тоқтата тұру - Процесті уақытша тоқтату, жалғастыру немесе тоқтату (тікелей процестер жетектеуіші немесе процестер тақтасынан қатынасуға болады).

Жаңа бағдарламаны іске қосу - Жаңа бағдарламаларды немесе процестерді бастау.

Басқа бағдарламаның күйін өзгерту - Негізгі бағдарлама мақсатты бағдарламалардың жадына жазуға немесе өздігінен кодты іске қосуға тырысуда. Бұл функция осы әрекетті бұғаттайтын ережеде мақсатты бағдарлама ретінде конфигурациялау арқылы негізгі бағдарламаны қорғау үшін пайдалы болуы мүмкін.

Тізбе әрекеттері

Іске қосу параметрлерін өзгерту - Windows жүйесі іске қосылғанда қай бағдарламалар іске қосылатынын анықтайтын параметрлердегі кез келген өзгертулер. Бұларды, мысалы,Run кілтін Windows тіркелімінде іздеу арқылы табуға болады.

Тізбеден жою - Тізбе кілтін немесе оның мәнін жою.

Тізбе кілтінің атын өзгерту - Тізбе кілттерін қайта атау.

Тізбені өзгерту - Тізбе кілттерінің жаңа мәндерін жасау, бар мәндерді өзгерту, дерекқор тармағында деректерді жылжыту я болмаса тізбе кілттері үшін пайдаланушы немесе топ құқықтарын орнату.


note

Нысанды енгізгенде белгілі бір шектеулермен бірге арнайы таңбаларды пайдалануға болады. Тіркелім жолдарында нақты кілттің орнына * (жұлдызша) таңбасын пайдалануға болады. Мысалы, HKEY_USERS\*\software деген HKEY_USER\.default\software білдіруі мүмкін, бірақ HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software білдірмейді. HKEY_LOCAL_MACHINE\system\ControlSet* жарамды тіркелім кілтінің жолы емес. \* бар тіркелім кілті «осы жол немесе осы таңбадан кейінгі кез келген деңгейдегі кез келген жолды» анықтайды. Бұл файл нысандары үшін арнайы таңбаларды пайдаланудың жалғыз жолы. Алдымен, жолдың белгілі бір бөлігі бағаланады, содан кейін жолдан кейін қойылмалы таңба (*) келеді.


warning

Өте жалпы ережені жасасаңыз, бұл ереже түрі туралы ескерту көрсетіледі.

Мына мысалда белгілі бір қолданбаның қалаусыз әрекетін шектеу әдісі көрсетілген:

1.Ережеге ат беріңіз және Әрекет ашылмалы мәзірінен Блоктау (немесе егер кейін таңдауды қаласаңыз, Сұрау) опциясын таңдаңыз.

2.Ереже қолданылған сайын хабарландыруды көрсету үшін Пайдаланушыға хабарлау жанындағы ауыстырып қосқышты іске қосыңыз.

3.Ереже қолданылатын Әсер ететін әрекеттер бөлімінде кемінде бір әрекетті таңдаңыз.

4.Келесі опциясын басыңыз.

5.Бастапқы қолданбалар терезесінде жаңа ережені сіз көрсеткен қолданбаларға қатысты таңдалған қолданба әрекеттерінің кез келгенін орындауға әрекеттенетін барлық қолданбаларға қолдану үшін ашылмалы мәзірден Белгілі бір қолданбалар опциясын таңдаңыз.

6.Белгілі бір қолданбаға жолды таңдау үшін Қосу, кейін ... опциясын басып, OK түймесін басыңыз. Егер қаласаңыз, басқа қолданбалар қосыңыз.
Мысалы: C:\Program Files (x86)\Untrusted application\application.exe

7.Файлға жазу әрекетін таңдаңыз.

8.Ашылмалы мәзірден Барлық файлдар опциясын таңдаңыз. Бұл алдыңғы қадамда таңдалған қолданбалардың файлдарға жазу әрекеттерін блоктайды.

9.Жаңа ережені сақтау үшін Аяқтау түймесін басыңыз.

CONFIG_HIPS_RULES_EXAMPLE