防篡改
防篡改 可查看终端上检测到的易受攻击驱动程序情况,以及试图禁用安全代理导致产品完整性受损的高级攻击行为。
相关设置位于策略的 反恶意软件 > 防篡改 模块中。
该功能分为两大主要目标类别:
-
易受攻击的驱动程序
这项预篡改技术可检测终端上可能被攻击者利用的脆弱驱动程序,这些威胁会危害产品完整性。该技术兼容Windows操作系统。
-
回调规避
回调函数通常触发特定操作以响应安全事件或特定条件。新威胁或无意识的人为错误可能被设计用于未经授权访问内核,导致产品完整性受损。这项后篡改技术可检测安全代理回调函数是否被恶意移除或禁用。该技术兼容Windows操作系统。
启用并配置该模块的步骤如下:
-
点击开关启用 防篡改 模块。
-
回调规避 和 易受攻击的驱动程序 技术在启用 防篡改 时默认被选中,但您可以根据需要启用或禁用它们。
-
自定义修复操作:
对于 易受攻击的驱动程序 ,您可以选择以下一种操作:
-
拒绝访问 :此默认操作会拒绝访问易受攻击的驱动程序。
-
修复 :通过消毒修复易受攻击的驱动程序。
-
仅报告 :仅报告易受攻击的驱动程序。
对于 回调规避 ,您可以选择多种操作:
-
默认操作为 仅报告 ,并在选中 回调规避 复选框时启用。
-
隔离 :隔离端点以遏制潜在恶意活动的传播。
-
重启 :重启端点以尝试恢复安全代理的完整性。您可以选择一个时间间隔,之后端点将自动重启。
-
-
保存您的更改。
要查看有关检测事件的更多信息,您可以生成安全审计报告或被阻止应用程序报告,或使用门户组件。