ESET-online-ohje

Valitse aihe

Muokkaa HIPS-sääntöä

Tutustu ensin HIPS-sääntöjen hallintaan.

Säännön nimi – Käyttäjän määrittämä tai automaattisesti valittu säännön nimi.

Toimenpide – Määrittää toimenpiteen - Salli, Estä tai Kysy - joka tulisi suorittaa, jos olosuhteet ovat oikeat.

Vaikuttavat toimenpiteet – Sinun on valittava sen toimenpiteen tyyppi, jolle sääntöä käytetään. Sääntöä käytetään vain tämän tyyppisille toiminnoille ja valitulle kohteelle.

Käytössä – Poista tämä valinta vaihtopainikkeella, jos haluat pitää säännön luettelossa mutta et käyttää sitä.

Kirjaamisen vakavuus – Jos valitset tämän vaihtoehdon, säännöstä kirjoitetaan tietoHIPS-lokiin.

Ilmoita käyttäjälle – Oikeaan alakulmaan ilmestyy pieni ilmoitusikkuna, kun jokin tapahtuma käynnistetään.

Sääntö sisältää osia, jotka kuvaavat säännön laukaisevat ehdot:

Lähdesovellukset – Sääntöä käytetään vain, jos tämä sovellus/nämä sovellukset käynnistävät tapahtuman. Valitse avattavasta valikosta Tietyt sovellukset ja lisää uusia tiedostoja tai kansioita napsauttamalla Lisää. Voit valita avattavasta valikosta myös Kaikki sovellukset ja lisätä kaikki sovellukset.

Kohdetiedostot – Sääntöä käytetään vain, jos toimenpide liittyy tähän kohteeseen. Valitse avattavasta valikosta Tietyt sovellukset ja lisää uusia tiedostoja tai kansioita valitsemalla Lisää tai lisää kaikki tiedostot valitsemalla avattavasta valikosta Kaikki tiedostot.

Sovellukset – Sääntöä käytetään vain, jos toimenpide liittyy tähän kohteeseen. Valitse Tietyt sovellukset alasvetovalikosta ja lisää uusia tiedostoja tai kansioita napsauttamalla Lisää, tai voit valita alasvetovalikosta Kaikki sovellukset ja lisätä kaikki sovellukset.

Rekisteröintitietueet – Sääntöä käytetään vain, jos toimenpide liittyy tähän kohteeseen. Valitse avattavasta valikosta Määritetyt merkinnät ja valitse Lisää, jos haluat kirjoittaa merkinnän manuaalisesti. Voit valita avaimen myös rekisteristä valitsemalla Avaa rekisterieditori -vaihtoehdon. Voit myös lisätä kaikki sovellukset valitsemalla avattavasta valikosta Kaikki merkinnät.

note

Tiettyjen HIPS:n ennalta määrittämien sääntöjen joitakin toimintoja ei voida estää, vaan ne on sallittu oletusarvoisesti. Lisäksi HIPS ei valvo kaikkia järjestelmätoimintoja. HIPS valvoo toimintoja, jotka luokitellaan vaarallisiksi.

Tärkeiden toimintojen kuvaukset:

Tiedostotoiminnot

Poista tiedosto – Sovellus pyytää luvan poistaa kohdetiedosto.

Kirjoita tiedostoon – Sovellus pyytää luvan kirjoittaa kohdetiedostoon.

Levyn suorakäyttö – Sovellus yrittää lukea levyltä tai kirjoittaa siihen tavalla, joka ei ole yleisten Windows-menetelmien mukainen. Tämä saattaa johtaa tiedostojen muokkaukseen ilman vastaavien sääntöjen soveltamista. Tämä toiminto saattaa johtua tunnistamista välttelevästä haittaohjelmasta, tarkkaa kopiota levystä laativasta varmuuskopiointiohjelmasta tai osioiden hallintaohjelmasta, joka yrittää järjestää levyasemat uudelleen.

Asenna yleinen kytkentä – Viittaa SetWindowsHookEx-toiminnon kutsumiseen MSDN-kirjastosta.

Lataa ohjain – Ohjainten asennus ja lataus järjestelmään.

Sovellustoiminnot

Toisen sovelluksen vianmääritys – Virheidenkorjausohjelman liittäminen prosessiin. Sovelluksen vianmääritystä tehtäessä voi tarkastella ja muokata monia toimintatietoja, ja tietoja voi käsitellä.

Sieppaa toisen sovelluksen tapahtumat – Lähdesovellus yrittää siepata kohdesovellukseen kohdistettuja tapahtumia (esimerkiksi näppäilyntallennussovellus yrittää siepata selaintapahtumia).

Lopeta/keskeytä toinen sovellus – Keskeyttää, palauttaa tai lopettaa prosessin (prosessiin voi palata suoraan Process Explorerista tai Prosessit-ruudusta).

Käynnistä uusi sovellus – Uusien sovellusten tai prosessien aloittaminen.

Muokkaa toisen sovelluksen tilaa – Lähdesovellus yrittää kirjoittaa kohdesovellusten muistiin tai suorittaa koodia puolestaan. Tällä toiminnolla voidaan suojata tärkeä sovellus määrittämällä se kohdesovellukseksi säännöllä, joka estää tämän toiminnon käytön.

Rekisteritoiminnot

Muokkaa käynnistysasetuksia – Kaikki asetusmuutokset, jotka määrittävät, mitkä sovellukset suoritetaan Windowsin käynnistyessä. Nämä löytyvät hakemalla esimerkiksi Run-avainta Windows-rekisteristä.

Poista rekisteristä – Rekisteriavaimen tai sen arvon poistaminen.

Nimeä rekisteriavain uudelleen – Rekisteriavainten nimeäminen uudelleen.

Muokkaa rekisteriä – Uusien arvojen luominen rekisteriavaimista, aiemmin määritettyjen arvojen muuttaminen, tietojen siirtäminen tietokantapuuhun tai rekisteriavainten käyttäjä- tai ryhmäoikeuksien määrittäminen.

note

Voit käyttää yleismerkkejä tietyin rajoituksin kohdetta kirjoittaessasi. Tietyn avaimen sijaan rekisteripoluissa voidaan käyttää symbolia * (tähtimerkkiä). Esimerkiksi HKEY_USERS\*\software voi tarkoittaa HKEY_USER\.default\software, mutta ei HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\softwareHKEY_LOCAL_MACHINE\system\ControlSet* ei ole kelvollinen rekisteriavainpolku. Rekisteriavainpolku, jossa on merkit \*, tarkoittaa "tämä polku tai mikä tahansa polku millä tahansa tasolla tähtimerkin jälkeen". Tämä on ainoa tapa käyttää yleismerkkejä tiedostokohteiden kohdalla. Ensin arvioidaan polun tiettyä osaa, ja sen jälkeen polku tähtimerkin (*) jälkeen.

warning

Jos luot hyvin yleisen säännön, saat varoituksen tällaisista säännöistä.

Seuraavassa esimerkissä näytetään, miten tietyn sovelluksen haitallista toimintaa voi rajoittaa:

1.Nimeä sääntö ja valitse Estä (tai Kysy, jos haluat valita myöhemmin) avattavasta Toimenpide-valikosta.

2.Valitse kohdan Ilmoita käyttäjälle vierenen vaihtopainike, jotta ilmoitus näytetään aina, kun sääntöä sovelletaan.

3.Valitse ainakin yksi toimenpide, jolle sääntö otetaan käyttöön, Vaikuttavat toimenpiteet -osiosta.

4.Napsauta Seuraava.

5.Valitse Lähdesovellukset-ikkunan alasvetovalikosta Tietyt sovellukset, jos haluat ottaa uuden säännön käyttöön kaikille sovelluksille, jotka yrittävät suorittaa jonkin valituista toimista määrittelemillesi sovelluksille.

6.Valitse Lisää ja sitten ..., niin voit valita tietyn sovelluksen. Valitse sitten OK. Voit halutessasi lisätä useampia sovelluksia.
Esimerkiksi: C:\Program Files (x86)\Untrusted application\application.exe

7.Valitse Kirjoita tiedostoon -toimenpide.

8.Valitse avattavasta valikosta Kaikki tiedostot. Tämä estää kaikki edellisessä vaiheessa valittujen sovellusten kaikki yritykset kirjoittaa mihinkään tiedostoon.

9.Tallenna uusi sääntö valitsemalla Valmis.

CONFIG_HIPS_RULES_EXAMPLE