防篡改
防篡改 可查看终端检测到易受攻击驱动程序的记录,以及高级攻击尝试禁用安全代理导致产品完整性受损的事件。
相关设置位于 反恶意软件 > 防篡改 策略部分。
该功能分为两个主要目标类别:
-
易受攻击的驱动程序
这项预篡改技术可检测终端上可能被攻击者利用的易受攻击驱动程序,对产品完整性构成威胁。该技术与Windows操作系统兼容。
-
回调规避
回调函数通常触发特定操作以响应安全事件或某些条件。新威胁或无意识的人为错误可能被设计成潜在地允许未经授权访问内核,导致产品完整性受损。这项后篡改技术可检测安全代理回调函数是否被恶意移除或禁用。该技术与Windows操作系统兼容。
要启用和配置该模块,请按照以下步骤操作:
-
点击切换开关以启用 防篡改 模块。
-
回调规避 和 易受攻击的驱动程序 技术在启用 防篡改 时默认被选中,但您可以根据需要启用或禁用它们。
-
自定义修复操作:
对于 易受攻击的驱动程序 ,您可以选择一个操作:
-
拒绝访问 :此默认操作拒绝访问易受攻击的驱动程序。
-
修复 :通过消毒修复易受攻击的驱动程序。
-
仅报告 :仅报告易受攻击的驱动程序。
对于 回调规避 ,您可以选择多个操作:
-
默认操作为 仅报告 当勾选 回调规避 复选框时启用。
-
隔离 :隔离终端以遏制潜在恶意活动的传播。
-
重启 :重启终端以尝试恢复安全代理完整性。您可选择时间间隔,终端将在该间隔后自动重启。
-
-
保存更改。
您可通过专用模块、技术或威胁类型筛选器,在 防篡改 威胁探索器版块查看相关事件。