防篡改
防篡改 可查看终端上检测到的易受攻击驱动程序及试图禁用安全代理的高级攻击行为,这些行为可能导致产品完整性受损。
相关设置位于 反恶意软件 > 防篡改 策略章节中。
该功能主要针对两类不同目标:
-
易受攻击的驱动程序
此项篡改前检测技术可识别终端上可能被攻击者利用的脆弱驱动程序,这些驱动会威胁产品完整性。该技术支持Windows操作系统。
-
回调规避
回调函数通常用于响应安全事件或特定条件触发特定动作。新型威胁或无意的操作失误可能被利用来获取内核未授权访问权限,从而导致产品完整性受损。这项后干扰技术可检测安全代理回调函数是否被恶意移除或禁用。该技术兼容Windows操作系统。
启用并配置该模块的步骤如下:
-
点击开关启用 反篡改 模块。
-
回调规避 与 易受攻击驱动 技术在启用 反篡改 时默认被选中,但您可根据需求启用或禁用它们。
-
自定义修复操作:
对于 易受攻击驱动 ,可选择以下操作之一:
-
拒绝访问 :此默认操作将拒绝访问易受攻击驱动。
-
修复 :通过消毒修复易受攻击驱动。
-
仅报告 :仅报告易受攻击驱动。
对于 回调规避 ,可选择多项操作:
-
默认操作为 仅报告 ,勾选 回调规避 复选框时自动启用。
-
隔离 :隔离终端以遏制潜在恶意活动的传播。
-
重启 :重启终端以尝试恢复安全代理完整性。您可选择终端自动重启的时间间隔。
-
-
保存更改。
您可通过 防篡改 专用模块、技术或威胁类型筛选器,在Threats Xplorer版块查看相关事件。