ESET Hjelp på internett

Søk Norsk
Velg tema

Rediger en HIPS-regel

Se administrasjon av HIPS-regler først.

Regelnavn – Brukerdefinert eller automatisk valgt regelnavn.

Handling – Angir en handling – Tillat, Blokker eller Spør – som bør utføres hvis vilkårene stemmer.

Operasjoner som påvirker – Du må velge type operasjon som regelen gjelder for. Regelen vil bare bli brukt til denne typen operasjoner og til valgt mål.

Aktivert – Deaktiver bryteren hvis du ønsker å beholde regelen i listen, men ikke ønsker å bruke den.

Loggfører alvorsgrad – Hvis du aktiverer dette alternativet, vil informasjon om denne regelen bli skrevet til HIPS-loggen.

Varsle bruker – Et lite varslingsvindu vises i nedre høyre hjørne hvis en hendelse utløses.

Regelen består av deler som beskriver forholdene som utløser denne regelen:

Kildeprogrammer – Regelen vil bare bli brukt hvis hendelsen blir utløst av dette programmet (programmene). Velg Bestemte programmer på rullegardinmenyen, og klikk Legg til for å legge til nye filer eller du kan velge Alle programmer på rullegardinmenyen for å legge til alle programmene.

Målrett filer – Regelen brukes bare hvis operasjonen er knyttet til dette målet. Velg Bestemte filer på rullegardinmenyen, og klikk Legg til for å legge til nye filer eller mapper, eller velg Alle filer på rullegardinmenyen for å legge til alle filer.

Programmer – Regelen vil bare bli brukt hvis operasjonen er knyttet til dette målet. Velg Bestemte programmer på rullgardinmenyen, og klikk Legg til for å legge til nye filer eller mapper, eller velg Alle programmer på rullgardinmenyen for å legge til alle programmene.

Registeroppføringer – Regelen vil bare bli brukt hvis operasjonen er knyttet til dette målet. Velg Spesifikke oppføringer fra rullgardinmenyen og klikk Legg til for å skrive den inn manuelt. Du kan også klikke Åpne registerendring for å velge en nøkkel fra registeret. Du kan også velge Alle oppføringer fra rullgardinmenyen for å legge til alle programmene.


note

Enkelte operasjoner for bestemte regler som er forhåndsdefinert av HIPS, kan ikke blokkeres og er tillatt som standard. Dessuten overvåkes ikke alle systemoperasjoner av HIPS. HIPS overvåker operasjoner som kan betraktes som usikre.

Beskrivelser av viktige operasjoner:

Filoperasjoner

Slett fil – Programmet ber om tillatelse til å slette målfilen.

Skriv til fil – Programmet ber om tillatelse til å skrive til målfilen.

Direkte tilgang til disk – Programmet prøver å lese fra eller skrive til disken på en ukonvensjonell måte, som vil omgå vanlige Windows-prosedyrer. Dette kan medføre at noen filer blir modifisert uten at de tilhørende reglene blir fulgt. Denne operasjonen kan være forårsaket av skadelig programvare som prøver å unngå å bli oppdaget, et backupprogram som prøver å lage en nøyaktig kopi av en disk, eller en partisjonsbehandler som prøver å omorganisere diskvolumer.

Installer global binding – Ringer funksjonen SetWindowsHookEx fra MSDN-biblioteket.

Last inn driver – Installasjon og innlasting av drivere til systemet.

Programoperasjoner

Fjern feil fra et annet program – Legger ved et feilsøkingsprogram for prosessen. Mens du fjerner feil i et program, kan det være at mange sider ved dets atferd kan vises og modifiseres, og at dets data kan evalueres.

Fange opp hendelser fra et annet program – Kildeprogrammet prøver å fange opp hendelser som er rettet mot målprogrammet (for eksempel en tastelogger som prøver å fange opp hendelser i nettleseren).

Avslutt/stopp et annet program – Innstiller, gjenopptar eller avslutter en prosess (har tilgang direkte fra Process Explorer eller prosessruten).

Start nytt program – Oppstart av nye programmer eller prosesser.

Endre tilstanden til et annet program – Kildeprogrammet prøver å skrive inn i målprogrammets minne eller kjøre kode på dets vegne. Denne funksjonen kan være nyttig for å beskytte et viktig program, ved å konfigurere det som et målprogram i en regel som blokkerer bruken av denne operasjonen.

Registeroperasjoner

Endre oppstartsinnstillinger – Enhver endring i innstillinger som definerer hvilke programmer som skal kjøres ved oppstart av Windows. Du finner disse for eksempel ved å søke etter Run-nøkkelen i Windows-registeret.

Slette fra register – Slette en registernøkkel eller dens verdi.

Gi nytt navn til registernøkkel – Gi nytt navn til registernøkler.

Endre register – Opprette nye verdier for registernøkler, endre eksisterende verdier, flytte data i databasetreet eller angi bruker- eller grupperettigheter for registernøkler.


note

Du kan bruke jokertegn med visse restriksjoner når du angir et mål. I stedet for en bestemt nøkkel kan stjernetegnet * brukes i registerbaner. For eksempel HKEY_USERS\*\software kan bety HKEY_USER\.default\software men ikke HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* er ikke en gyldig registernøkkelbane. En registernøkkelbane som inneholder \*, definerer "denne banen eller enhver bane på ethvert nivå etter dette symbolet". Dette er den eneste måten man kan bruke jokertegn for filmål. Først vil den konkrete delen av en bane evalueres, og deretter den banen som følger etter jokertegnet (*).


warning

Hvis du oppretter en veldig generell regel, vises advarselen om denne typen regel.

I følgende eksempel viser vi deg hvordan du kan begrense uønsket atferd for visse programmer:

1.Navngi regelen og velg Blokker (eller Spør dersom du ønsker å velge senere) fra rullegardinmenyen Handling.

2.Aktiver bryteren ved siden av Varsle brukeren for å vise et varsel når den regelen blir brukt.

3.Velg minst én operasjon fra Operasjoner som påvirker-delen, som regelen gjelder for.

4.Klikk på Neste.

5.I vinduet Kildeprogrammer velger du Spesifikke programmer fra rullgardinmenyen for å bruke den nye regelen på alle programmer som prøver å utføre en av de merkede operasjonene i programmene du har spesifisert.

6.Klikk på Legg til og deretter på ... for å velge et spesifikt program, og trykk deretter på OK. Legg til flere programmer dersom du ønsker.
Eksempel: C:\Program Files (x86)\Untrusted application\application.exe

7.Velg Skriv til fil-operasjonen.

8.Velg Alle filer fra rullegardinmenyen. Dette blokkerer forsøk på å skrive til noen filer fra det/de valgte program(mene) i det forrige trinnet.

9.Klikk Fullfør for å lagre den nye regelen.

CONFIG_HIPS_RULES_EXAMPLE