事件监控 父主题

事件监控提供了一种更为常规的方法来抵御未授权软件和恶意软件攻击。它监控系统区域中的某些事件,并允许管理员调整触发此类事件的程序。如果您的特定系统保护要求高于恶意软件行为阻止提供的要求,请使用事件监控。
下表提供了一列受监控的系统事件。

监控的系统事件

事件
描述
重复的系统文件
许多恶意程序使用 Windows 系统文件所用的文件名创建其自身或其他恶意程序的副本。通常,这样做是为了覆盖或替换系统文件、避免检测或防止用户删除恶意文件。
Hosts 文件修改
Hosts 文件使域名与 IP 地址相匹配。许多恶意程序修改 Hosts 文件,以将 Web 浏览器重定向到受感染的、不存在的或假 Web 站点。
可疑行为
可疑行为可以是某个特定操作,也可以是一系列操作,合法程序几乎不会执行这种行为。使用存在可疑行为的程序时,应小心谨慎。
新 Internet Explorer 插件
间谍软件/灰色软件程序经常会安装不需要的 Internet Explorer 插件,包括工具栏和浏览器助手对象。
Internet Explorer 设置修改
许多病毒/恶意软件更改 Internet Explorer 设置,包括主页、受信任的 Web 站点、代理服务器设置和菜单扩展。
安全策略修改
通过修改 Windows 安全策略可允许运行不需要的应用程序和更改系统设置。
程序库注入
许多恶意程序配置 Windows 以使所有应用程序自动加载某个程序库 (DLL)。这样,每次启动应用程序时,都将运行该 DLL 中的恶意例程。
Shell 修改
许多恶意程序修改 Windows Shell 设置以将自身与某些文件类型相关联。此例程允许恶意程序在用户在 Windows Explorer 中打开关联的文件时自动启动。更改 Windows Shell 设置还可以允许恶意程序跟踪使用的程序和启动并行的合法应用程序。
新服务
Windows 服务是具有特殊功能的进程,通常使用完全管理权限在后台持续运行。有时,恶意程序将自己作为服务安装以保持隐藏状态。
系统文件修改
某些 Windows 系统文件确定系统行为,包括启动程序和屏幕保护程序设置。许多恶意程序修改系统文件以在启动时自动启动并控制系统行为。
防火墙策略修改
Windows 防火墙策略确定具有网络访问权限的应用程序、通信时打开的端口以及可与计算机通信的 IP 地址。许多恶意程序修改策略以允许自身访问网络和 Internet。
系统进程修改
许多恶意程序对内置 Windows 进程执行各种操作。这些操作可能包括终止或修改正在运行的进程。
新启动程序
许多恶意程序配置 Windows 以使所有应用程序自动加载某个程序库 (DLL)。这样,每次启动应用程序时,都将运行该 DLL 中的恶意例程。
当事件监控检测到监控的系统事件时,它将执行针对此事件所配置的处理措施。
下表列出了管理员对受监控的系统事件可能采取的处理措施。

监控的系统事件的处理措施

处理措施
描述
评估
防毒墙网络版始终允许与事件相关联的程序,但在日志中记录此处理措施以进行评估。
这是对所有监控的系统事件的缺省处理措施。
注意
注意
64 位系统上的程序库注入不支持该选项。
允许
防毒墙网络版始终允许与事件相关联的程序。
必要时询问
防毒墙网络版提示用户允许或拒绝与事件相关联的程序并将相应程序添加到例外列表。
如果用户在特定的时间段内未响应,防毒墙网络版将自动允许此程序运行。缺省时间段为 30 秒。要修改该时间段,请参阅 配置全局行为监控设置
注意
注意
64 位系统上的程序库注入不支持该选项。
拒绝
防毒墙网络版始终阻止与事件相关联的程序,并在日志中记录此处理措施。
如果阻止了某个程序且启用了通知,防毒墙网络版会在客户端计算机上显示通知。有关通知的详细信息,请参阅 针对防毒墙网络版客户端用户的行为监控通知