Редактиране на HIPS правило

Първо вижте управлението на HIPS правилата.

Име на правило – зададено от потребителя или автоматично избрано име на правило.

Действие – указва действието (Разреши, Блокирай или Питай), което трябва да бъде извършено, ако условията са изпълнени.

Повлияващи операции – трябва да изберете типа операции, за който ще се прилага правилото. Правилото ще се използва само за този тип операции и за избраната цел.

Разрешено – Деактивирайте плъзгача, ако искате да запазите правилото в списъка, но без да го прилагате.

Детайлност на регистрирането – ако активирате тази опция, информация за правилото ще се записва в дневника на HIPS.

Извести потребителя – ако е възникнало събитие, в долния десен ъгъл се появява малък прозорец за известие.

Правилото се състои от части, които описват условията, активиращи това правило:

Изходни приложения – правилото ще се използва само ако събитието се активира от тези приложения. Изберете Определени приложения от падащото меню и щракнете върху Добавяне, за да добавите нови файлове или изберете Всички приложения от падащото меню, за да добавите всички приложения.

Целеви файлове – правилото ще се използва само ако операцията е свързана с тази цел. Изберете Определени файлове от падащото меню и щракнете върху Добавяне, за да добавите нови файлове или папки, или изберете Всички файлове от падащото меню, за да добавите всички файлове.

Приложения – правилото ще се използва само ако операцията е свързана с тази цел. Изберете Определени приложения от падащото меню и щракнете върху Добавяне, за да добавите нови файлове или папки, или изберете Всички приложения от падащото меню, за да добавите всички приложения.

Записи в регистър – правилото ще се използва само ако операцията е свързана с тази цел. Изберете Определени записи от падащото меню и щракнете върху Добавяне, за да го въведете ръчно, или щракнете върху Отваряне на редактора на системния регистър, за да изберете ключ от системния регистър. Освен това може да изберете Всички записи от падащото меню, за да добавите всички приложения.

Описания на важни операции:

Операции с файлове

•Изтриване на файл – приложението иска разрешение да изтрие целевия файл.

•Запис във файл – приложението иска разрешение да запише в целевия файл.

•Директен достъп до диска – Приложението се опитва да чете от или да записва на диска по нестандартен начин, който ще заобиколи познатите процедури на Windows. Това може да доведе до промяна на файлове без прилагане на съответните правила. Тази операция може да е предизвикана от злонамерен софтуер, опитващ се да избегне откриването, архивиращ софтуер, който се опитва да направи точно копие на диска, или диспечер на дялове, който се опитва да реорганизира томовете на диска.

•Инсталирай глобален фиксатор – отнася се до извикването на функцията SetWindowsHookEx от библиотеката MSDN.

•Зареждане на драйвер – инсталиране и зареждане на драйвери в системата.

Операции с приложения

•Дебъгване на друго приложение – прикрепване на инструмент за дебъгване към процеса. Докато се дебъгва дадено приложение, много подробности за поведението му могат да се видят и променят, а данните му могат да се отворят.

•Прихвани събития от друго приложение – изходното приложение се опитва да хване събития, насочени към определено приложение (например програма, регистрираща въведени символи, която се опитва да запише събития от браузъра).

•Прекъсни/спри временно друго приложение – временно спиране, възстановяване или прекратяване на процес (има директен достъп от Process Explorer или от екрана с процеси).

•Стартирай ново приложение – стартиране на нови приложения или процеси.

•Промени състоянието на друго приложение – изходното приложение се опитва да записва в паметта на целевите приложения или да стартира код от негово име. Тази функция може да бъде полезна за защитата на основно приложение чрез конфигурирането му като целево приложение в правило, блокиращо използването на тази операция.

Операции със системния регистър

•Промяна на настройките за стартиране – Всички промени в настройките, които определят кои приложения ще се изпълнят при стартирането на Windows. Те могат да се открият например чрез търсене на ключа Run в системния регистър на Windows.

•Изтрий от системния регистър – изтриване на ключ в системния регистър или на негова стойност.

•Преименувай ключа в системния регистър – преименуване на ключове в системния регистър.

•Промени системния регистър – създават се нови стойности на ключове в системния регистър, местят се данни в дървовидната структура на базата данни или се настройват права за ключовете в системния регистър за даден потребител или група.

В следващия пример ще демонстрираме как да ограничите нежеланото поведение на определено приложение:

1.Назовете правилото и изберете Блокирай (или Попитай, ако предпочитате да направите избор по-късно) от падащото меню Действие.

2.Активирайте плъзгача до Известяване на потребителя за показване на известие при всяко прилагане на правило.

3.Изберете поне една операция в раздела Повлияващи операции, за която правилото ще бъде приложено.

4.Щракнете върху Напред.

5.В прозореца Изходни приложения изберете Определени приложения от падащото меню, за да приложите новото правило за всички приложения, които се опитат да извършат някоя от избраните операции с указаните от вас приложения.

6.Щракнете върху Добавяне, след което върху ..., за да изберете път до определено приложение и натиснете ОК. Добавете повече приложения, ако желаете.
Например: C:\Program Files (x86)\Untrusted application\application.exe

7.Изберете операцията Запис във файл.

8.Изберете Всички файлове от падащото меню. Това ще блокира всякакви опити за запис във всички файлове от избраното приложение(я) от предишната стъпка.

9.Щракнете върху Готово, за да запишете новото правило.