Analiza skryptu
- CCS może analizować kod w plikach wykonywalnych na dwa sposoby:
-
- Heurystyczna analiza wiersza poleceń (Heuristic command line analysis)
- Wykrywanie kodów wbudowanych (Embedded Code Detection)
- Można włączyć te funkcje i wybrać programy, które mają być monitorowane, dodając do profilu sekcję ‘Script Analysis’.
- Można również monitorować programy, które próbują dokonać zmian w automatycznych wpisach (auto-run entries), usługach Windows i zaplanowanych zadaniach.
Informacje:
Heurystyczna analiza linii poleceń:
Wbudowane wykrywanie kodu:
Na przykład, program wscript.exe może być wykonany do wykonywania wizualnych skryptów podstawowych (rozszerzenie pliku .vbs) za pomocą polecenia podobnego do ‘wscript.exe c:/tests/test.vbs’. Jeśli ta opcja jest wybrana, CCS wykrywa c:/tests/test.vbs z linii poleceń (command-line) i stosuje wszystkie kontrole bezpieczeństwa do tego pliku.
|
Aby skonfigurować ustawienia “Script Analysis”
- Kliknij ‘Configuration Templates’ > ‘Profiles’
- Kliknij nazwę profilu Windows
- Kliknij ‘Add Profile Section’ > ‘Script Analysis’
Ekran ustawień “Script Analysis” zawiera trzy zakładki:
- General Settings – Włącz analizę skryptu i ustaw maksymalny rozmiar pliku, który powinien być sprawdzony.
- Runtime Detection – Wybierz, które programy są monitorowane podczas ich działania.
- Autoruns Scan – Wybierz programy, które chcesz monitorować, aby sprawdzić, czy wprowadzają one zmiany w automatycznie uruchamianych wpisach (auto-run entries), usługach Windows i zaplanowanych zadaniach.
General Settings
- Perform Script Analysis – Włącz/wyłącz analizę skryptów. CCS będzie analizował aplikacje wybrane w zakładce “Runtime Detection” tylko wtedy, gdy opcja ta jest włączona. W przypadku wykrycia złośliwego kodu w dowolnym elemencie generowany jest alert. (Domyślnie = Włączone)
- Limit the total size of saved detected scripts to – CCS przechowuje do analizy skrypty uruchamiane przez zarządzane aplikacje. Opcja ta pozwala określić całkowity rozmiar przechowywanych skryptów. Po osiągnięciu ustawionego limitu starsze skrypty są automatycznie usuwane. (Domyślnie = 100 KB)
Runtime Detection
- Pozwala wybrać pliki wykonywalne, które powinny być analizowane podczas ich wykonywania.
- Możesz również dodać własne aplikacje, które chcesz chronić.
- Kliknij zakładkę “Runtime Detection” w interfejsie ustawień “Script Analysis”.
-
- Użyj przełącznika w kolumnie “Heuristic Command-Line Analysis”, aby włączyć/wyłączyć heurystyczną analizę wiersza poleceń dla każdej aplikacji.
- Użyj przełącznika w kolumnie “Embedded Code Detection”, aby włączyć/wyłączyć wykrywanie kodu wbudowanego dla każdej aplikacji.
- Wybierz aplikację i kliknij przycisk edycji, aby zaktualizować jej szczegóły.
- Wybierz aplikację i kliknij ikonę kosza, aby usunąć ją z listy.
- Kliknij przycisk “Add” u góry, aby dodać nową aplikację do listy.
-
- Wprowadź nazwę aplikacji w oknie dialogowym “Add Application” i kliknij “Add”.
- Nowa aplikacja zostanie dodana do listy i zostanie wybrana domyślnie. W każdej chwili można ją włączyć/wyłączyć za pomocą przełącznika znajdującego się obok niej.
- Powtórz ten proces, aby dodać więcej aplikacji
- Aby zresetować listę do domyślnej listy aplikacji, kliknij “Reset to Default” na górze.
- Kliknij “OK”, aby zastosować swoje , a następnie przycisk “Save”.
Autoruns Scan
- Wybierz aplikacje, które powinny być monitorowane w przypadku, gdy dokonują zmian w autorunach, usługach Windows lub zaplanowanych zadaniach.
- Można również dodać własne aplikacje, które mają być monitorowane.
- Kliknij zakładkę “Autoruns Scan” w interfejsie ustawień “Script Analysis”.
-
- Użyj przełącznika w kolumnie “Heuristic Command-Line Analysis”, aby włączyć/wyłączyć heurystyczną analizę wiersza poleceń dla każdej aplikacji.
- Użyj przełącznika w kolumnie “Embedded Code Detection”, aby włączyć/wyłączyć wykrywanie kodu wbudowanego dla każdej aplikacji.
- Wybierz aplikację i kliknij przycisk edycji, aby zaktualizować jej szczegóły.
- Wybierz aplikację i kliknij ikonę kosza, aby usunąć ją z listy.
- Kliknij przycisk “Add” u góry, aby dodać nową aplikację do listy.
-
- Wprowadź nazwę aplikacji w oknie dialogowym “Add Application” i kliknij “Add”.
- Nowa aplikacja zostanie dodana do listy i zostanie wybrana domyślnie. Możesz użyć przełącznika obok niego, aby włączyć/wyłączyć ją w dowolnym momencie.
- Powtórz ten proces, aby dodać więcej aplikacji
- Aby zresetować listę do domyślnej listy aplikacji, kliknij “Reset to Default” na górze.
- Kliknij “OK”, aby zastosować swoje zmiany, a następnie przycisk “Save”.
Zobacz więcej na: help.comodo.com