监控
[启用监控]
包括 恶意网址监控、网页木马防御、注册表监控、进程监控、文件监控、U盘监控和驱动加载监控七种监控模式。
用户可以设置免打扰模式来取消这些监控的提醒。
其中除“驱动加载监控”外,其他监控默认状态均为开启,用户可根据软件提示,根据需要对监控模式进行关闭。如下图。
[注册表设置]
巨盾根据监控的记录将一些敏感的进程注册表操作的信息写在列表中,用户可根据需要查看进程的注册表操作和路径。
可在列表项上“双击”列表或者选中列表项点击“修改”按钮,然后对注册表规则进行修改,
当有进程注入指定的注册表路径,写入相应的键名时,巨盾会采取相应的措施来对应。
当用户可以这样设置注册表规则时,相当于切断了一些木马入侵注册表的路,
同时也提高了系统的安全稳定性。
如上图,用户还可以自行添加相应的注册表规则,或者删除不符合要求的注册表规则。
比如目前比较流行来关闭安全软件的方法,就是利用镜像劫持。
这就是为什么有很多用户在感染木马病毒后都无法打开安全软件的原因。
原理:因为木马在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
的项中添加了安全软件进程名字的项,并添加了一个Debugger的键值,
这样用户在运行这些程序时,就会被Debugger键值中的参数所劫持了。
木马利用这个键值既能关闭安全软件,还可以加载自身,
所以一定要将这里监控起来。 操作过程如下:
点击下面的“添加”按钮
设置一下规则吧。注册表路径为
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*”,
记得加上一个通配符*“”,键值设置为Debugger。我们采取的操作是“阻止”。
经过这样的设置,就可以拦截恶意程序来劫持安全软件了。
[进程设置]
如下图,用户可以自由设置进程规则,监控父进程下 子进程的创建。以防止木马注入父进程。
例如目前的网页挂马都是基于各式各样的漏洞,由浏览器下载、并执行木马/下载者,
因此我们只要监控我们自己使用的浏览器的进程创建就可以将该类木马拒之门外了。
操作如下:
首先打开监控功能模块,创建进程规则
点击“添加”按钮
将规则设置如上图所示
父进程路径:也就是我们进行监控程序的路径(可以使用通配符)。
子进程路径:监控程序所创建子进程的路径,可以设置成任意,这样当他创建任何子进程时,巨盾都会告诉我们。
当进程满足监控条件时所进行的操作,可以选择提示用户、直接运行、直接拦截。
通过这样的设置,当firefox浏览器有进程创建时,巨盾会有提示用户注意,
如果为用户信任的进程(例如:用户手动从网上下载的东西等),就可以放过,
如果是不信任的程序,就点拒绝。效果如下图:
这是我们使用迅雷从浏览器下载时的提示,
经过这样的设置,我们就可以保证我们的浏览器不会有"越轨"的行为了。
当需要修改或者删除规则时,可点击“修改"、“删除”按钮进行操作。
[文件设置]
当用户指定操作,进程路径和文件路径以及文件操作类型时,巨盾会根据用户添加规则来进行相应的操作。
这样可以有效防止木马文件和U盘病毒文件侵害电脑。
巨盾默认添加了7种文件规则设置,包括对autorun.inf等常见病毒木马行为的监控方法。
用户可根据需要自行进行添加,删除和修改操作。
可以点击“添加按钮”进行规则设置。
进程路径:也就是我们进行监控程序的路径。
文件路径:木马文件创建的位置。
类型:木马文件进行操作的事件。
操作:满足监控条件时所进行的操作,可以选择提示用户、直接运行、直接拦截。
示例如下:
这样,当巨盾监控到D:\Windows\system32\user.exe有写入,创建,删除和重命名的行为之时,就会向用户发出提示。
这样就起到了监控文件的效果。
当需要修改或者删除规则时,可点击“修改按钮”、“删除”等进行操作。
[监控日志]
监控日志里面记录了对进程,注册表,文件等监控的信息,包括时间,软件名称,目标和操作事件。
用户可以查看监控日志,了解监控软件的行为。
监控软件:是指巨盾监控的目标软件。
目标:是指此软件发生的行为事件路径
操作:是指巨盾对相应行为采取的措施。
用户可以点击“保存所选”按钮将信息保存下来,方便日后查看,也可以删除不需要的信息。
TOP↑