Sie sind auf Seite 1von 36

MALWARE DEFENDER HIPS & SYSTEMTOOLS

MALWARE DEFENDER HILFE


1. Allgemein
Unterstützte Betriebssysteme:
Windows 2000 (Service Pack 4), Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 7.
Unterstützt werden die 32-bit Versionen der genannten Betriebssysteme, 64-bit werden nicht unterstützt.
1.1 Installation
Während der Erstinstallation muss man nur
dem Assistenten folgen. Besondere Einstel-
lungen gibt es während der Installation nicht.

Bei einer Aktualisierung auf eine neuere Ver-


sion von Malware Defender muss man das
Programm beenden und dabei auch den
Echtzeitschutz deaktivieren, wie es im Bild
links erklärt wird.

1.2 Erster Programmstart


Direkt nach der Installation startet Malware Defender. Hier gilt es dann zwei Dinge zu beachten, die in den fol-
genden beiden Punkten erläutert werdenden: der Lernmodus und die Kernel Symbole.
1.2.1 Lernmodus

Der Lernmodus ist nach der Installation per Voreinstellung


aktiviert.

Bei einer Erstinstallation auf einem sauberen System kann


man den Lernmodus einige Zeit lang aktiviert lassen, da-
mit Malware Defender Regeln für vorhandene Programme
automatisch erstellt.

Auch Regeln für Autostarts werden beim Neustart des


Computers im Lernmodus automatisch erstellt.

Wenn man Malware Defender allerdings auf einem kompromittierten System installiert, dann sollte man den
Lernmodus schon bei diesem Fenster deaktivieren, da sonst Erlaubnisregeln für Schadprogramme automatisch
erstellt werden könnten.

Seite 1
MALWARE DEFENDER HIPS & SYSTEMTOOLS
1.2.2 Kernel Symbole
Gleich nach dem ersten Programmstart erscheint
auch ein Dialogfenster zum Herunterladen der Kernel
Symbole.
Diese Symbole werden von Malware Defender für die
volle Funktionsfähigkeit einiger Systemtools benö-
tigt.
Das HIPS funktioniert auch ohne diese Symbole voll-
ständig.
Nach diesem Fenster erscheinen noch zwei weitere
Bestätigungsfenster, das Erste zum Herunterladen
der Symbole im Hintergrund und das Zweite in engli-
scher Sprache mit den Lizenzbestimmungen für den
Download der Kernel Symbole von Microsoft.
1.3 Menü im Infobereich
Die Programmoberfläche öffnen.
Die Programmeinstellungen öffnen.
Eine Regel-Datei aktivieren.
Komponenten des Echtzeitschutzes (de)aktivieren.
Interaktive Regelerstellung.
Erlauben statt Fragen (Automatische Regelerstellung).
Verbieten statt Fragen (Automatische Regelerstellung).
Das Fenster für den Kennwortschutz öffnen.
Den Kennwortschutz für die Oberfläche (de)aktivieren.
Das Programm und den Echtzeitschutz beenden.

1.4 Hauptmenüs
1.4.1 Datei

Ohne diese Symbole funktionieren einige Funktionen der Systemtools nicht.


Die Windows-Datei hosts öffnen (ordnet Hostnamen IP-Adressen zu).
Das Programm und den Echtzeitschutz beenden.

1.4.2 Bearbeiten

Aktionen rückgängig machen oder wiederherstellen.


___________________________________________________

Für die jeweilige Suche ein Fenster öffnen.

___________________________________________________

Seite 2
MALWARE DEFENDER HIPS & SYSTEMTOOLS
1.4.3 Ansicht

Die betreffenden Leisten anzeigen oder verbergen.


_________________________________________________________________

Das Protokoll, die Suchergebnisse und Verläufe im unteren Teil des Hauptfens-
ters anzeigen oder verbergen.

_________________________________________________________________
Module/Handles von Prozessen im Fenster „Prozesse“ anzeigen oder verbergen.
_________________________________________________________________
Die Symbolleiste fixieren.
Die Voreinstellung für alle Ansichten wiederherstellen.
Die Ansicht aktualisieren.

1.4.4 Regeln

Öffnet das Fenster zum Verwalten der Regel-Dateien.


_____________________________________________________________
Öffnet das Fenster zum Speichern/Laden von Regel-Dateien.
_____________________________________________________________

Öffnet das Fenster zum Verwalten der jeweiligen Gruppen.


____________________________________________
Öffnet das Untermenü rechts zum Erstellen von Regeln.
Regeln löschen, deren Ziel nicht mehr existiert.
Regeln löschen, die temporär erstellt wurden.
Alle Regeln werden gelöscht und die Standardregeln wiederhergestellt.
Alle Anwendungen im Fenster „Regeln“ werden nach Namen sortiert.

Alle Gruppen im Fenster „Regeln“ erweitern oder reduzieren.

1.4.5 Extras

Öffnet das Fenster mit den Einstellungen.


Öffnet das Fenster zum Eingeben eines Kennworts für die Programmoberfläche.
Zeigt Threads an, die im Kernel-Modus ausgeführt werden, wie z.B. von Treibern.
Zeigt die DPC (Deferred Procedure Call, dt. Verzögerter Prozeduraufruf) Timer an.

Seite 3
MALWARE DEFENDER HIPS & SYSTEMTOOLS
1.4.6 Fenster

Ordnet die Fenster bzw. die Symbole entsprechend an.

1.4.7 Hilfe

Öffnet die im Programm enthaltene englischsprachige Hilfe .


Öffnet ein Browser-Fenster mit der Seite zum Bestellen von Malware Defender.
Öffnet das Fenster zum Eingeben des Produktschlüssels.
Prüfen, ob eine neue Version von Malware Defender verfügbar ist.
Öffnet das Fenster mit den Programminformationen.

1.5 Statusleiste
Malware Defender bietet eine integrierte Hilfe-
funktion über die Statusleiste.
Wenn man den Mauszeiger auf einen Befehl der
Programmmenüs oder der Kontextmenüs bewegt,
dann erscheint in der Statusleiste eine Information
zum gewählten Befehl.

1.6 Quick Infos


Malware Defender zeigt für die Anwendungsregeln
detaillierte Informationen an, wenn man den Maus-
zeiger auf eine derartige Regel bewegt.

Damit erhält man eine schnelle Übersicht über die


Rechte dieser Anwendung und die Anzahl der jewei-
ligen Regeln.

Wenn man diese Quick Infos nicht angezeigt be-


kommen will, kann man sie mit einem Rechtsklick
auf das Fenster „Regeln“ und der Abwahl von „De-
taillierte QuickInfos anzeigen“ ausblenden lassen.

Seite 4
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2. HIPS (Echtzeitschutz)
2.1 Regeln
2.1.1 Allgemein
Der Echtzeitschutz von Malware Defender basiert auf Regeln. Eine große Anzahl von Regeln für die Registrie-
rung, Dateien, das Netzwerk und Anwendungen sind bereits im Programm enthalten. Etwa Dateiregeln zum
Schutz von ausführbaren Systemdateien, Registrierungsregeln für Autostartbereiche, Netzwerkregeln für die
Adressbereiche von Microsoft oder Anwendungsregeln für die wichtigsten Systemprogramme von Windows.

Regeln können über die Alarmfenster von Malware Defender erstellt werden oder direkt im Hauptfenster des
Programms unter „Regeln“ und in den Tabs der einzelnen Anwendungsregeln.
Bei den Regeln sind die einige Dinge zu beachten, die in den folgenden Punkten erläutert werden.

2.1.2 Prioritäten
Prioritätszahlen

Seite 5
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Die erste Regel (oben) hat die niedrigste Priorität (0), bei jeder folgenden erhöht sich die Zahl um 1. Die zuletzt
hinzugefügte Regel hat immer die höchste Priorität. Regeln können aber per Drag & Drop oder mit den Pfeilen
rechts im Bild umsortiert werden.
Diese Regelpriorität ist dann besonders zu beachten, wenn z.B. wie im Bild eine Netzwerkregel erstellt wird,
die alles verbietet. Hätte die „Verbieten“ Regel die höchste Priorität (3), dann wären die „Erlauben“ Regeln wir-
kungslos, da die „Verbieten“ Regel als Regel mit höchster Priorität zuerst zur Anwendung käme.
Die Regeln werden also beginnend mit der höchsten Zahl vom Programm abgearbeitet.
Regelprioritäten
Globale Regeln für Dateien, die Registrierung und das Netzwerk haben eine niedrigere Priorität als die Regeln
für Dateien, die Registrierung und das Netzwerk, die in den Anwendungsregeln definiert sind.
Das hat den praktischen Hintergrund, dass man nur so dauerhafte Ausnahmen zu globale Regeln definieren
kann. Beispielsweise wird nach einer globalen Dateiregel die Veränderung der hosts Datei abgefragt, man kann
aber einem bestimmten Programm per Anwendungsregel das Verändern der hosts Datei dauerhaft ohne wei-
tere Nachfrage erlauben.
Ähnliches gilt für Gruppen. Deren Regeln haben eine niedrigere Priorität als die Anwendungsregeln, aber eine
höhere als die globalen Regeln.
Das Programm sucht also nach einer eindeutigen Anweisung (wie „Erlauben“, „Verbieten“ usw.) zuerst in
den Anwendungsregeln, dann in den Gruppenregeln und zuletzt kommen die globalen Regeln zur Anwen-
dung.
2.1.3 Status
Jede Regel hat einen Status, für diesen gibt es drei verschiedene Zustände.
• Aktiviert – eine permanente Regel, die aktiv ist und bei der Suche nach Regeln berücksichtigt wird.
• Deaktiviert – eine permanente Regel, die inaktiv ist und bei der Suche nach Regeln nicht berücksichtigt
wird.
• Temporär – diese Regeln gelten nur bis der Prozess für diese Regel beendet wird und werden dann gelöscht.
2.1.4 Rechte
Allgemeine Rechte
Für die Regeln gibt es die folgenden allgemeinen Rechte:
• Ignorieren – damit setzt Malware Defender die Suche nach einer Regel mit niedrigerer Priorität fort.
• Fragen – der Benutzer wird nach einer Entscheidung gefragt, es erscheint ein Alarmfenster.
• Erlauben – die betreffende Aktion wird erlaubt.
• Verbieten – die betreffende Aktion wird verboten.
• Verbieten und Prozess beenden – die betreffende Aktion wird verboten und der Prozess beendet.
Spezielle Rechte
Diese speziellen Rechte gelten nur für die jeweils angeführten Regeltypen in Klammern.
• Lesen-Berechtigung – (Dateiregeln) ob eine Datei gelesen werden darf. Bei einem Verbot wird auch auto-
matisch das Schreiben, Erstellen und Löschen dieser Datei verboten.
• Schreiben-Berechtigung – (Dateiregeln, Registrierungsregeln) ob eine Datei oder ein Registrierungseintrag
geschrieben werden darf.
• Erstellen-Berechtigung – (Dateiregeln) ob eine neue Datei erstellt werden darf.
• Löschen-Berechtigung – (Dateiregeln) ob eine Datei gelöscht werden darf.
• Ausführen-Berechtigung – (Regeln für Anwendungen, Treiber und Hook-Module) ob eine Anwendung, ein
Treiber oder ein Hook-Modul (meist eine DLL) ausgeführt bzw. geladen werden darf.

Seite 6
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.1.5 Gruppen
Gruppen sind dazu da um Objekte mit den gleichen Rechten zu verwalten.
Für die Registrierung, Dateien, das Netzwerk und Anwendungen gibt es solche Gruppen. Einige Gruppen sind
bereits im Programm enthalten, diese können aber verändert werden oder es können auch neue Gruppen er-
stellt werden.
Gruppen können auch bei den Anwendungsregeln für „Untergeordnete Anwendungen“, „Zielanwendungen“,
„Dateien“, „Registrierung“ und „Netzwerk“ zugewiesen werden. Man kann damit beispielsweise einer Anwen-
dung einen Zugriff auf alle Registrierungseinträge der Gruppe „Autostartbereiche“ mit einer Regel erlauben
oder verbieten.
Auch in einer Gruppe haben die speziellen Anwendungsrechte wieder eine höhere Priorität als die globalen
Rechte, die für diese Gruppe definiert sind. Die Gruppenrechte kommen also nur dann zur Anwendung, wenn
in den Rechten der speziellen Anwendung „Ignorieren“ eingestellt ist, andernfalls haben die Einstellungen für
die Anwendung höhere Priorität.
Wenn eine neue Gruppe erstellt wurde, ist diese erst dann im Fenster „Regeln“ sichtbar, wenn für die neue
Gruppe Regeln definiert wurden. Man muss also zuerst z.B. eine neue Anwendungsgruppe erstellen und dann
im Fenster „Regeln“ rechts klicken, „Neue Regel“ und „Anwendungsregel“ wählen. Danach über „Eine Anwen-
dungsgruppe wählen“ die neue Gruppe auswählen und die gewünschten Regeln für diese definieren. Dann ist
die neue Gruppe im Fenster „Regeln“ sichtbar.
2.1.6 Vordefinierte Regeln
Diese Regeln sind im Fenster „Regeln“ an der blauen Farbe zu erkennen. Sie betreffen die elementarsten Re-
geln von Malware Defender und können weder deaktiviert noch gelöscht werden. Teilweise können die Ein-
stellungen in diesen vordefinierten Regeln allerdings verändert werden, wie z.B. die Rechte der Windows Pro-
gramme in der Gruppe „Anwendungsregeln – System“. Wie genau man in dieser Gruppe die wichtigsten An-
wendungen des Betriebssystems also überwachen will, bleibt einem selbst überlassen.
2.1.7 Platzhalter
Bei der Erstellung von Regeln können folgende Platzhalter verwendet werden:
* – der Stern steht für kein Zeichen oder beliebig viele Zeichen. Damit kann man z.B. mittels C:\* alle Objekte
in diesem Verzeichnis in eine Regel einschließen.
? – das Fragezeichen steht für ein beliebiges Zeichen. Damit kann man z.B. eine Regel erstellen, die für alle
Laufwerke gilt, also ?:\
2.1.8 Umgebungsvariable
Malware Defender unterstützt eine Reihe von Umgebungsvariablen, welche für die Regelerstellung verwendet
werden können. Die entsprechenden Ordner für diese Umgebungsvariablen sind je nach der verwendeten
Windows Version etwas unterschiedlich. Wo der betreffende Ordner für die jeweilige Umgebungsvariable ge-
nau ist, kann man einfach herausfinden, indem man sie in die Adressleiste des Windows Explorers eingibt. Hier
sind für die Umgebungsvariablen die allgemeinen Orte angegeben.

%TEMP% – steht für das temporäre Verzeichnis des Benutzers.


%APPDATA% – steht für das Verzeichnis mit anwendungsspezifischen Daten des Benutzers.
%USERPROFILE% – steht für den Profilordner des Benutzers.
%ALLUSERSPROFILE% – steht für das Verzeichnis mit anwendungsspezifischen Daten aller Benutzer.
%ProgramFiles% – steht für den Ordner Programme, der typische Pfad ist C:\Programme.
%SystemRoot% – steht für das Windows-Verzeichnis, der typische Pfad ist C:\Windows.
%SystemDrive% – steht für das Systemlaufwerk, der typische Pfad ist C:\.

Seite 7
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.1.9 Relative Pfade
Relative Pfadangaben können bei Regeln für Untergeordnete Anwendungen, Zielanwendungen, Treiber, Hook-
Module, Dynamische Bibliotheken und Dateiregeln verwendet werden.
.\ – steht für das aktuelle Verzeichnis, diese Pfadangabe bezieht sich also auf Objekte im gleichen Verzeichnis.
..\ – steht für das übergeordnete Verzeichnis in Bezug zum aktuellen Verzeichnis (auch mehrfach anwendbar).

2.1.10 Kontextmenü

Die ausgewählte Regel in einer Datei speichern.


Eine neue Regel erstellen.
Die ausgewählte Regel kopieren.
Die ausgewählte Regel einfügen.
Die ausgewählte Regel löschen.
Den angezeigten Namen kopieren.
Die ausgewählte Regel aktivieren.
Die ausgewählte Regel deaktivieren.
Die Priorität der ausgewählten Regel verringern.
Die Priorität der ausgewählten Regel erhöhen.
Die ausgewählte Regel in eine Gruppe verschieben.
Die ausgewählte Regel aus der Gruppe verschieben.
Infofenster bei Anwendungsregeln zeigen oder verbergen.
Für die ausgewählte Regel das Bearbeitungsfenster öffnen.

2.2 Dateiregeln
2.2.1 Globale Dateiregeln

Die Dateiregeln sind in den "Globalen Dateiregeln" zusammengefasst.


Diese Regeln bestehen aus einzelnen Regeln und Regeln für Dateigruppen:
* – die erste Regel ist eine vordefinierte Regel (blau) und die Regel mit der niedrigsten Priorität. Sie erlaubt
grundsätzlich das Lesen, Schreiben, Erstellen und Löschen von Dateien. Die Ausnahmen zu dieser „Alles erlau-
ben“ Regel werden in den Dateigruppen und den weiteren Regeln definiert. Da alle anderen Regeln eine höhe-
re Priorität haben, kommt diese erste Regel mit der Priorität 0 nur dann zur Anwendung, wenn keine Regel mit
höherer Priorität etwas Gegenteiliges vorschreibt.
Dateigruppen – hier sind Rechte für bestimmte Bereiche definiert. Für „Autostartbereiche“ etwa gilt die Regel:
das Lesen von Dateien ist erlaubt, aber das versuchte Schreiben, Erstellen und Löschen einer Datei im Auto-
startbereich erzeugt ein Alarmfenster von Malware Defender.

Seite 8
MALWARE DEFENDER HIPS & SYSTEMTOOLS
?:\ – diese Regel erlaubt nur das Lesen von Dateien im Stammverzeichnis eines beliebigen Laufwerks. Das ver-
suchte Schreiben, Erstellen und Löschen einer Datei im Stammverzeichnis eines beliebigen Laufwerks erzeugt
ein Alarmfenster von Malware Defender.

2.2.2 Dateiregeln bearbeiten


Mit einem Doppelklick auf eine Dateiregel oder Dateigruppe kann eine Regel bearbeitet werden.
Über das Programmmenü (Regeln > Neue Regel > Dateiregel) oder über das Kontextmenü im Fenster „Regeln“
(Neue Regel > Dateiregel) kann eine neue Dateiregel erstellt werden.

Diese Regel bestimmten Objekten zuordnen.

Pfad zum Ordner, für den die Regel gilt.

Die Datei oder der Unterordner für diese Regel.

Für welche Objekte die Regel gilt.

Diese Regel einer Dateigruppe zuordnen.

Die Dateigruppe wählen.

Die Rechte für das Lesen bestimmen.*


Die Rechte für das Schreiben bestimmen.*
Die Rechte für das Erstellen bestimmen.*
Die Rechte für das Löschen bestimmen.*

Einen Kommentar für diese Regel eingeben.


OK bestätigt die Regel, Abbruch verwirft sie.

* Für jede Aktion kann die Protokollierung aktiviert oder deaktiviert werden. Bei Aktivierung der Protokollie-
rung wird beim Auslösen der Regel ein Eintrag im Protokoll erzeugt.
Praktisch kann man mit diesen völlig frei zu konfigurierenden Dateiegeln jede beliebige Datei oder jeden belie-
bigen Ordner des Systems überwachen. Man kann z.B. Lesezugriffe auf ganz bestimmte private Dokumente
ebenso überwachen wie das versuchte Überschreiben von Dateien in einem bestimmten Ordner.

2.3 Registrierungsregeln
2.3.1 Globale Registrierungsregeln

Seite 9
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Die Registrierungsregeln sind in den "Globalen Registrierungsregeln" zusammengefasst.
Diese Regeln bestehen aus einzelnen Regeln und Regeln für Registrierungsgruppen:
* – die erste Regel ist eine vordefinierte Regel (blau) und die Regel mit der niedrigsten Priorität. Sie erlaubt
grundsätzlich das Schreiben von Registrierungseinträgen. Die Ausnahmen zu dieser „Alles erlauben“ Regel
werden in den Registrierungsgruppen und den weiteren Regeln definiert. Da alle anderen Regeln eine höhere
Priorität haben, kommt die erste Regel mit der Priorität 0 nur dann zur Anwendung, wenn keine Regel mit hö-
herer Priorität etwas Gegenteiliges vorschreibt.
Registrierungsgruppen – hier sind Rechte für bestimmte Bereiche definiert. Für „Autostartbereiche“ etwa gilt
die Regel: das versuchte Schreiben von Einträgen in diese überwachten Bereiche der Registrierung erzeugt ein
Alarmfenster von Malware Defender.

2.3.2 Registrierungsregeln bearbeiten


Mit einem Doppelklick auf eine Registrierungsregel oder Registrierungsgruppe kann eine Regel bearbeitet wer-
den.
Über das Programmmenü (Regeln > Neue Regel > Registrierungsregel) oder über das Kontextmenü im Fenster
„Regeln“ (Neue Regel > Registrierungsregel) kann eine neue Registrierungsregel erstellt werden.

Diese Regel bestimmten Einträgen zuordnen.

Pfad zum Schlüssel, für den die Regel gilt.

Der Wert oder Unterschlüssel für diese Regel.


Diese Regel einer Gruppe zuordnen.

Die Registrierungsgruppe wählen.

Die Rechte für das Schreiben bestimmen und


die Protokollierung aktivieren oder deaktivieren.
Einen Kommentar für diese Regel eingeben.
OK bestätigt die Regel, Abbruch verwirft sie.

Wieder kann man mit den frei zu konfigurierenden Regeln jeden beliebigen Bereich der Registrierung überwa-
chen. Wenn man z.B. einen alternativen Browser verwendet, kann man Regeln für die relevanten Bereiche der
Registrierung für diesen Browser erstellen. Vordefiniert ist der Registrierungsschutz für die Bereiche des Inter-
net Explorer.

2.4 Netzwerkregeln
2.4.1 Globale Netzwerkregeln

Seite 10
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Die Netzwerkregeln sind in den "Globalen Netzwerkregeln" zusammengefasst.
Diese Regeln bestehen aus einzelnen Regeln und Regeln für Netzwerkgruppen:
Erste Regel (Priorität 0) – die erste Regel ist eine vordefinierte Regel (blau) und die Regel mit der niedrigsten
Priorität. Sie legt fest, dass bei jeder Netzwerkaktivität ein Alarmfenster erscheint. Die Ausnahmen zu dieser
„Immer fragen“ Regel werden in den Netzwerkgruppen und den weiteren Regeln definiert. Da alle anderen Re-
geln eine höhere Priorität haben, kommt die erste Regel mit der Priorität 0 nur dann zur Anwendung, wenn
keine Regel mit höherer Priorität etwas Gegenteiliges vorschreibt.
Netzwerkgruppen – hier sind Rechte für bestimmte Bereiche definiert. In „Vertrauenswürdige Netzwerkadres-
sen“ sind beispielsweise die IP-Bereiche von Microsoft und VeriSign erlaubt. Wie immer kann man aber auch
hier eigene Gruppen erstellen. Beispielsweise eine Gruppe „Blockierte Ports“, in der man Ports definiert, die
man für eingehende Verbindungen global für alle Anwendungen oder eine Anwendungsgruppe sperrt.

2.4.2 Netzwerkregeln bearbeiten


Mit einem Doppelklick auf eine Netzwerkregel oder Netzwerkgruppe kann eine Regel bearbeitet werden.
Über das Programmmenü (Regeln > Neue Regel > Netzwerkregel) oder über das Kontextmenü im Fenster „Re-
geln“ (Neue Regel > Netzwerkregel) kann eine neue Netzwerkregel erstellt werden.

Eine Filterregel erstellen.


Die Richtungen auswählen.
Die Protokolle auswählen.*

Remote-Adressen bestimmen.

Remote-Ports bestimmen.

Lokale Ports bestimmen.


Die Regel einer Gruppe zuordnen.
Die Netzwerkgruppe wählen.

Die Rechte bestimmen und die


Protokollierung (de)aktivieren.
Einen Kommentar eingeben.
OK bestätigt die Regel, Abbruch
verwirft sie.

* Der Netzwerkschutz von Malware Defender bietet als Protokolle TCP, UDP und Raw IP, wobei unter Raw IP di-
verse andere Protokolle zusammengefasst sind. So gibt es beispielsweise für das Protokoll ICMP keine eigene
Meldung, sondern das Alarmfenster verweist auf das Protokoll Raw IP.
Hinweis:
Der Netzwerkschutz von Malware Defender bietet keine voll ausgestattete Firewall, allerdings ist er voll kom-
patibel zur Windows Firewall und kann problemlos mit ihr gemeinsam genutzt werden.
Man kann auch eine Firewall eines Drittanbieters gemeinsam mit Malware Defender nutzen und beispielswei-
se den Netzwerkschutz von Malware Defender dann deaktivieren.
Malware Defender nutzt das Windows-eigene Basisfiltermodul, es wird also kein eigener Firewall Treiber in-
stalliert, der mit dem Firewall Treiber eines Drittanbieters einen Konflikt verursachen könnte.
Seite 11
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.5 Anwendungsregeln
2.5.1 Anwendungsregeln – Allgemein

Die Anwendungsregeln (mit Ausnahme der Anwendungsregeln für das System, siehe 2.5.2) sind in den "An-
wendungsregeln – Allgemein" zusammengefasst.
Diese Regeln bestehen aus einzelnen Regeln und Regeln für Anwendungsgruppen:
* – die erste Regel ist eine vordefinierte Regel (blau) und die Regel mit der niedrigsten Priorität. In ihr sind alle
Rechte nach der Voreinstellung auf „Fragen“ eingestellt (mit Ausnahme des Ladens von DLLs und des Zugriffs
auf die COM-Schnittstelle). Diese Basisregel legt fest, dass bei jeder überwachten Aktion einer Anwendung ein
Alarmfenster von Malware Defender erscheint. Die Ausnahmen zu dieser „Immer fragen“ Regel werden in den
Anwendungsgruppen und den einzelnen Anwendungsregeln definiert. Da alle anderen Regeln eine höhere
Priorität haben die erste Regel mit Priorität 0, kommt die Basisregel nur dann zur Anwendung, wenn keine Re-
gel mit höherer Priorität etwas Gegenteiliges vorschreibt.
Anwendungsgruppen – hier sind Rechte für bestimmte Typen von Anwendungen definiert.
Für die einzelnen vordefinierten Gruppen gelten folgende Regeln:
Installations- und Updateprogramme:
Programme dieser Gruppe dürfen Dateien lesen, schreiben, erstellen und löschen und sie dürfen Registrie-
rungseinträge erstellen. Alle anderen Aktionen werden überwacht und gemeldet.
Vertrauenswürdige Anwendungen:
Programme dieser Gruppe dürfen nach der vordefinierten Gruppenregel alles, auch auf das Netzwerk zugrei-
fen. Diese Gruppe ist z.B. für Programme des Betriebssystems und vertrauenswürdige Programme von Drittan-
bietern gedacht, die man nicht überwachen will.
Blockierte Anwendungen:
Programmen dieser Gruppe ist praktisch alles verboten. In diese Gruppe können schädliche Programme ge-
nauso verschoben werden wie lästige Zusatzprogramme diverser Anwendungen, wie z.B. Update Komponen-
ten, die bei jedem Start eines Programms aktiv werden oder beim Update Werbefenster anzeigen.
Internet Explorer – der Internet Explorer steht hier als Beispiel für alle Programme, die keiner Gruppe zuge-
ordnet sind. Wenn Programme zum ersten Mal starten und man im Alarmfenster keine Gruppe wählt, oder die
Programme im Lernmodus erkannt werden, dann kommen die Programme im Regelfenster in diesen Bereich.
Die Rückfallregel ist für all diese Programme die erste vordefinierte Regel mit dem Stern (blau, Priorität 0). Da
diese vordefinierte Regel aber eine sehr genaue Überwachung vorsieht, sollte man die Anwendungen in die-
sem Bereich möglichst bald entsprechenden Gruppen zuordnen.
Die Gruppen können bei Malware Defender vom Benutzer frei konfiguriert
werden. Über das Programmmenü „Regeln“ kann mit „Anwendungs-
gruppen...“ das entsprechende Fenster geöffnet werden und dort kann man
nach den eigenen Vorstellungen auch ein ganz anderes Gruppensystem er-
stellen und benennen, wie im Bild links zu sehen ist. Jede Gruppe hat ihre ei-
genen Regeln und jedes neue Programm kann man sofort der richtigen Grup-
pe zuordnen, was viele „unnötige“ Alarmfenster verhindern kann.
Seite 12
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.5.2 Anwendungsregeln – System

Hier sind die wichtigsten Anwendungen von Windows zusammengefasst. Diese vordefinierten Regeln (blau)
können nicht gelöscht oder deaktiviert werden, die Einstellungen der einzelnen Regeln können aber verändert
werden. Diese Regeln haben alle die gleiche Priorität und sie haben von allen Anwendungsregeln automatisch
immer die höchste Priorität. Verbotsregeln innerhalb dieser Anwendungen sollten nur mit entsprechendem
Wissen über die betreffenden Funktionen des Betriebssystems erstellt werden, da es sonst zu schwerwiegen-
den Problemen kommen kann.

2.5.3 Anwendungsregeln bearbeiten


2.5.3.1 Allgemein

Den Pfad zu Anwen-


dung wählen, für die
diese Regel gilt.
Oder eine Regel für
eine Anwendungs-
gruppe erstellen.
Zugriffe auf diesen
Prozess verbieten.
Diese Regel kommen-
tieren.

OK – diese Regel erstellen bzw. mit den gemachten Einstellungen übernehmen.


Abbrechen – die Regel bzw. die gemachten Einstellungen verwerfen.
Seite 13
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.5.3.2 Rechte

Hier werden die Rechte für eine Anwendung oder eine Anwendungsgruppe definiert.
Es werden also praktisch die Weichen gestellt, welche Reaktionen von Malware Defender auf die einzelnen Ak-
tionen von Programmen folgen bzw. welche Aktionen für eine Anwendungsgruppe erlaubt, verboten usw.
sind. Zusätzlich kann für jede überwachte Aktion die Protokollierung aktiviert oder deaktiviert werden.
1. Ausführung dieser Anwendung:
Die Startberechtigung für ein Programm. Diese Regel kommt nur dann zur Anwendung, wenn keine Regel mit
höherer Priorität etwas anderes vorschreibt. Wenn beispielsweise die Ausführung eines Programms hier ver-
boten wird, aber das Programm als untergeordnete Anwendung des Windows Explorers erlaubt ist, dann wird
das Verbot hier ignoriert, da die Regel des Windows Explorers immer die höchste Priorität hat.
2. Neue Prozesse erstellen:
Ob das Programm neue Prozesse erstellen bzw. andere Programme starten darf. Die betreffenden Programme
werden im Tab Untergeordnete Anwendungen (siehe 2.5.3.3) aufgelistet.
3. Auf den Speicher anderer Prozesse zugreifen:
Ob das Programm in den Speicherbereich von anderen Programmen schreiben darf oder die Speicherattribute
anderer Prozesse ändern darf. Diese Programme werden im Tab Zielanwendungen (siehe 2.5.3.4) aufgelistet.
4. Andere Prozesse und Threads kontrollieren:
Hier sind Überwachungsfunktionen für folgende Vorgänge zusammengefasst:
• Remote-Threads erstellen.
• Threads von anderen Prozessen verändern, anhalten oder beenden.
• andere Prozesse anhalten, beenden oder debuggen.
• die Fenster von anderen Prozessen manipulieren.

Seite 14
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Die betreffenden Programme werden im Tab Zielanwendungen (siehe 2.5.3.4) aufgelistet.
5. Nachrichten an andere Prozesse senden:
Ob das Programm andere Programme mittels Nachrichten manipulieren darf. Die betreffenden Programme
werden im Tab Zielanwendungen (siehe 2.5.3.4) aufgelistet.
6. Handle von/zu anderen Prozessen duplizieren:
Ob das Programm andere Programme durch das Duplizieren von Handles manipulieren darf. Die betreffenden
Programme werden im Tab Zielanwendungen (siehe 2.5.3.4) aufgelistet.
7. Kerneltreiber laden:
Ob das Programm Kernelmodus-Treiber laden darf. Die betreffenden Treiber werden im Tab Treiber (siehe
2.5.3.5) aufgelistet.
8. Zugriff auf Kernel-Speicher/Objekte:
Ob das Programm auf Kernel-Speicher oder auf Kernel-Objekte zugreifen darf.
9. Physischer Speicherzugriff:
Ob das Programm direkt auf physische Speicheradressen zugreifen darf.
10. Physischer Datenträgerzugriff:
Ob das Programm direkt auf physische Datenträger zugreifen darf.
11. Tastaturzugriff auf niedriger Ebene:
Ob das Programm Eingaben direkt auslesen oder simulieren darf.
12. Registrierungszugriff auf niedriger Ebene:
Hier sind Überwachungsfunktionen für folgende Vorgänge zusammengefasst:
• Registrierungseinträge mittels einer Registrierungsstrukturdatei ersetzen.
• Registrierungseinträge umbenennen.
• einen Symbolischen Link (REG_LINK) in der Registrierung erstellen.
13. Nachrichten/Ereignis Hooks installieren:
Ob das Programm globale Nachrichten-Hooks oder Ereignis-Hooks installieren darf. Die betreffenden Dateien
werden im Tab Hook-Module (siehe 2.5.3.6) aufgelistet.
14. Systemzeit verändern:
Ob das Programm das Datum und die Uhrzeit des Betriebssystems verändern darf.
15. Windows herunterfahren:
Ob das Programm die Systemereignisse „Abmelden“, „Neu starten“ und „Herunterfahren“ auslösen darf.
16. Auf den Dienststeuerungs-Manager zugreifen:
Ob das Programm auf den Dienststeuerungs-Manager zugreifen darf, um Dienste/Treiber:
• zu installieren, zu entfernen oder zu ändern.
• zu starten, zu beenden, anzuhalten oder fortzusetzen.
17. Dynamische Bibliotheken (DLLs) laden:
Ob das Programm Dynamische Bibliotheken (Englisch: Dynamic Link Libraries, kurz DLLs) laden darf. Die betref-
fenden DLL-Dateien werden im Tab Dynamische Bibliotheken (siehe 2.5.3.7) aufgelistet.
18. Auf COM-Schnittstellen zugreifen:
Ob das Programm auf die COM (Component Object Model) Schnittstelle zugreifen darf. Die betreffenden
COM-Schnittstellen werden im Tab COM-Schnittstellen (siehe 2.5.3.8) aufgelistet.
19. Alle Rechte ändern auf >
Damit kann man alle Rechte auf eine der verfügbaren Einstellungen ändern.

Seite 15
MALWARE DEFENDER HIPS & SYSTEMTOOLS
20. Protokollieren
Damit kann man die Protokollierung für einzelne Aktionen aktivieren oder deaktivieren. Entsprechende Ereig-
nisse werden im Fenster Protokoll (siehe 2.7) aufgelistet.
21. Alles protokollieren
Damit kann man die Protokollierung für alle Aktionen aktivieren oder deaktivieren. Die entsprechenden Ereig-
nisse werden im Fenster Protokoll (siehe 2.7) aufgelistet.

2.5.3.3 Untergeordnete Anwendungen

Hier werden die Programme verwaltet, die ein Programm zu starten versucht. Diese werden als untergeordne-
te Anwendungen oder auch als Child-Anwendungen bezeichnet. Die entsprechende Funktion beim Tab Regeln
ist Neue Prozesse erstellen. Wenn für ein Programm keine Regel unter „Untergeordnete Anwendungen“ ge-
funden wird oder diese Regel auf „Ignorieren“ eingestellt ist, dann wird die Berechtigung für „Ausführung die-
ser Anwendung“ beim Tab „Regeln“ verwendet.
2.5.3.4 Zielanwendungen

Bei den Zielanwendungen werden die Programme verwaltet, die ein Programm zu manipulieren versucht.
Die Spaltenbezeichnungen und ihre entsprechenden Berechtigungen beim Tab Regeln:
• Auf Prozess zugreifen – Auf den Speicher anderer Prozesse zugreifen
• Prozess kontrollieren – Andere Prozesse und Threads kontrollieren
• Nachricht senden – Nachrichten an andere Prozesse senden
• Handle duplizieren – Handle von/zu anderen Prozessen duplizieren
Seite 16
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Wenn keine entsprechende Regel für Zielanwendungen vorhanden ist oder diese Regel auf „Ignorieren“ einge-
stellt ist, dann werden die oben angeführten Berechtigungen vom Tab „Regeln“ verwendet.
2.5.3.5 Treiber

Unter „Treiber“ sind die Kerneltreiber aufgelistet, die ein Programm zu laden versucht hat. Wenn hier keine
entsprechende Regel vorhanden ist oder die „Ausführen“ Berechtigung auf „Ignorieren“ eingestellt ist, dann
wird die Berechtigung für „Kerneltreiber laden“ vom Tab „Regeln“ verwendet.
2.5.3.6 Hook-Module

Hier sind die Hook-Module aufgelistet, die ein Programm zu installieren versucht hat. Wenn hier keine entspre-
chende Regel vorhanden ist oder die „Ausführen“ Berechtigung auf „Ignorieren“ eingestellt ist, dann wird die
Berechtigung für „Nachrichten/Ereignis Hooks installieren“ vom Tab „Regeln“ verwendet.
2.5.3.7 Dynamische Bibliotheken

Seite 17
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Hier werden die Dynamischen Bibliotheken aufgelistet, die ein Programm zu laden versucht hat. Wenn hier
keine entsprechende Regel vorhanden ist oder die „Ausführen“ Berechtigung auf „Ignorieren“ eingestellt ist,
dann wird die Berechtigung für „Dynamische Bibliotheken (DLLs) laden“ vom Tab „Regeln“ verwendet.
Hinweis: Das Laden von Dynamischen Bibliotheken ist nach der ersten Regel mit der Priorität 0 bei „Anwen-
dungsregeln – Allgemein“ (siehe 2.5.1) auf „Erlauben“ eingestellt, man kann diese Einstellung aber auch global
oder für einzelne Anwendungen nach den eigenen Vorstellungen ändern.
2.5.3.8 COM-Schnittstellen

Hier werden die Zugriffe eines Programms auf die COM (Component Object Model) Schnittstellen aufgelistet.
Wenn hier keine entsprechende Regel vorhanden ist oder die „Ausführen“ Berechtigung auf „Ignorieren“ ein-
gestellt ist, dann wird die Berechtigung für „Auf COM-Schnittstellen zugreifen“ vom Tab „Regeln“ verwendet.
Der Zugriff auf die COM-Schnittstellen ist nach der ersten Regel mit der Priorität 0 bei „Anwendungsregeln –
Allgemein“ (siehe 2.5.1) auf „Erlauben“ eingestellt, aber es sind in dieser Regel auch schon Ausnahmen im dor-
tigen Tab „COM-Schnittstellen“ definiert, bei denen „Fragen“ für wichtige COM-Schnittstellen eingestellt ist.
Man kann diese Einstellungen aber wiederum global oder für einzelne Anwendungen ändern.
2.5.3.9 Dateien

Hier finden sich die Dateiregeln für ein Programm. Nach der Voreinstellung werden nur bestimmte Systembe-
reiche durch die „Globalen Dateiregeln“ (siehe 2.2.1) überwacht. Versucht ein Programm z.B. eine Datei für
einen Treiber (.drv) zu erstellen, dann erscheint ein Alarmfenster von Malware Defender.
Wenn keine entsprechende Regel vorhanden ist, werden die Aktionen des Programms ignoriert.
Die einzelnen Dateiregeln können über das Fenster „Dateiregeln bearbeiten“ (siehe 2.2.2) editiert werden.
Seite 18
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.5.3.10 Registrierung

Hier finden sich die Registrierungsregeln für ein Programm. Nach der Voreinstellung werden nur bestimmte
Registrierungsbereiche durch die „Globale Registrierungsregeln“ (siehe 2.3.1) überwacht. Versucht ein Pro-
gramm einen Schlüssel in einem überwachten Bereich zu erstellen, dann erscheint ein Alarmfenster von Mal-
ware Defender.
Wenn keine entsprechende Regel vorhanden ist, werden die Aktionen des Programms ignoriert.
Die einzelnen Registrierungsregeln können über das Fenster „Registrierungsregeln bearbeiten“ (siehe 2.3.2)
editiert werden.
2.5.3.11 Netzwerk

Hier werden die ausgehenden und eingehenden Verbindungsversuche eines Programms aufgelistet. Nach der
Voreinstellung werden alle Verbindungsversuche von Malware Defender überwacht.
Wenn keine entsprechende Regel vorhanden ist, dann erscheint ein Alarmfenster von Malware Defender.
Die einzelnen Netzwerkregeln können über das Fenster „Netzwerkregeln bearbeiten“ (siehe 2.4.2) editiert
werden.

Seite 19
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.6 Alarmfenster
2.6.1 Allgemein
Alle Alarmfenster von Malware Defender haben einen einheitlichen Aufbau, der nur nach der jeweiligen
Schutzkomponente etwas variiert. Hier wird der allgemeine Aufbau eines Alarmfensters erklärt, beispielhaft
wird dann in den folgenden Punkten ein Alarmfenster jeder Schutzkomponente gezeigt (siehe 2.6.2 - 2.6.5).
1. Aktion: Benennt die verdächtige Aktion,
welche das Alarmfenster von Malware De-
fender verursacht hat.
2. Prozess: Der Prozess (mit dem vollständi-
gen Pfad), welcher diese Aktion ausführen
wollte.
3. Beschreibung: Der Name des Prozesses.
4. Herausgeber: Der Herausgeber der Datei.
(Überprüft) Die Signatur der Datei wurde
von Malware Defender geprüft.
(Nicht überprüft) Die Signatur konnte von
Malware Defender nicht geprüft werden
bzw. es ist keine Signatur vorhanden.
5. Ziel: Das Ziel dieser Aktion. Je nach
Schutzkomponente ist dies eine Anwendung,
eine Datei, ein Registrierungsschlüssel
oder eine Netzwerkereignis (siehe 2.6.2 –
2.6.5).
6. Befehlszeile: Befehlszeilenparameter bei
Anwendungen oder andere Informationen
bezogen auf das Ziel (siehe 2.6.4 und 2.6.5).
7. Regel: Die Regel, die dieses Alarmfenster von Mal- auch die Befehlszeilenparameter für die Regel be-
ware Defender ausgelöst hat rücksichtigt.
8. Anwendungsregel für diese Aktion erstellen: Ob 13. Gruppe für die Anwendung wählen: Die Gruppe
für diese Aktion eine Regel für die betreffende An- für den Prozess wählen. Befindet sich die Anwendung
wendung erstellt werden soll oder nicht. bereits in einer Gruppe, dann ist diese voreingestellt.
Wird die Option nicht aktiviert, dann wird die Regel
9. Permanente Regel erstellen: Ob für diese Aktion
keiner Gruppe zugeordnet.
eine dauerhafte Regel erstellt werden soll.
14. Gruppe für die untergeordnete Anwendung
10. Temporäre Regel erstellen, diese wird beim Be-
wählen: Die Gruppe für das Ziel wählen. Die Einstel-
enden des Prozesses gelöscht: Ob für diese Aktion ei-
lungen der Gruppen sind wie im vorigen Punkt be-
ne temporäre Regel erstellt werden soll, die beim Be-
schrieben.
enden des Prozesses automatisch von Malware De-
fender gelöscht wird. 15. Erlauben: Diese Aktion mit den gemachten Ein-
stellungen erlauben.
11. Objekt der Regel: Je nach Schutzkomponente
kann das Objekt der Regel eine Anwendung, eine Da- 16. Verbieten: Diese Aktion mit den gemachten Ein-
tei, ein Registrierungsschlüssel oder eine Netzwerker- stellungen verbieten.
eignis sein (siehe 2.6.2 - 2.6.5).
17. Verbieten und Prozess beenden: Diese Aktion mit
12. Regel inklusive der Befehlszeile erstellen: Bei der den gemachten Einstellungen verbieten und den Pro-
Wahl dieser Option werden bei Anwendungsregeln zess beenden.
Seite 20
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.6.2 Dateischutz

1. Ziel: Als Ziel wird beim Dateischutz der


Name der Datei und der vollständige Pfad
angegeben.

2. Objekt der Regel: Malware Defender bie-


tet bis zu drei Regeln zur Auswahl an.
3. Benutzerdefinierte Regel: Mit der Schalt-
fläche kann man aber auch den Editor öff-
nen und die Dateiregel nach eigenen Vor-
stellungen erstellen (siehe 2.2.2).

2.6.3 Registrierungsschutz

1. Ziel: Als Ziel wird beim Registrierungs-


schutz der vollständige Registrierungsein-
trag angegeben.

2. Objekt der Regel: Malware Defender bie-


tet hier wieder bis zu drei Regeln zur Aus-
wahl an.
3. Benutzerdefinierte Regel: Mit der Schalt-
fläche kann man auch hier den Editor öffnen
und die Registrierungsregel nach eigenen
Vorstellungen erstellen (siehe 2.3.2).

Seite 21
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.6.4 Netzwerkschutz

1. Ziel: Die Verbindung mit dem Protokoll,


den IP Adressen, Ports und der Richtung.
→ kennzeichnet ausgehende Verbindungen
und ← kennzeichnet eingehende Verbindun-
gen.
2. Remote-Host: Die aufgelöste Remote-IP-
Adresse und das Herkunftsland dieser IP-
Adresse. Bei einem Klick darauf wird im
Browser eine Whois Abfrage dieser Adresse
angezeigt.

3. Objekt der Regel: Malware Defender bie-


tet hier wieder bis zu drei Regeln zur Aus-
wahl an.
4. Benutzerdefinierte Regel: Mit der Schalt-
fläche öffnet man den Editor und die Netz-
werkregel kann damit auch nach eigenen
Vorstellungen erstellt werden (siehe 2.4.2).

2.6.5 Anwendungsschutz

1. Ziel: Das Ziel der Aktion, die der Anwen-


dungsschutz meldet. In diesem Fall der
Name des Treibers, der installiert werden
soll.
Wenn das Ziel eine Anwendung ist, dann
werden der Hersteller und die Beschreibung
als Quick Info angezeigt.
2. Dateipfad: Der Name der Datei und der
vollständige Pfad.

3. Objekt der Regel: Das Objekt, auf das


sich diese Anwendungsregel bezieht.

Seite 22
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.7 Protokoll
Im unteren Bereich des Hauptfensters wird das Protokoll angezeigt, es kann auch als Tab des Hauptfensters an-
gezeigt werden (siehe 4.3, Einstellungen – Protokoll). Die Aktionen der vier Schutzkomponenten werden in ver-
schiedenen Farben dargestellt. Das Protokoll zeigt wann (Datum/Uhrzeit) ein Prozess welche Aktion mit wel-
chem Ziel ausführte, ob diese Aktion erlaubt oder verboten (Ergebnis) wurde und wegen welcher Regel dies
geschah. Wert zeigt zusätzliche Informationen, wie z.B. die Befehlszeile bei Anwendungen.

Über das Kontextmenü sind für das Protokoll folgende Funktionen vorhanden:
Zeigt den aktiven Prozess im Fenster „Prozesse“ an (bei inaktiven die Datei).
Zeigt das Ziel im jeweiligen Fenster an, z.B. die Datei im Fenster „Dateien“.
Springt zur entsprechenden Regel im Fenster „Regeln“.
Erstellt eine Erlaubnisregel nach dem angezeigten Protokolleintrag.
Erstellt eine Verbotsregel nach dem angezeigten Protokolleintrag.
Kopiert die Auswahl in die Zwischenablage.
Kopiert die Auswahl im mehrzeiligen Format in die Zwischenablage.
Kopiert den Prozessnamen mit dem vollständigen Pfad in die Zwischenablage.
Kopiert den Zielnamen mit dem vollständigen Pfad in die Zwischenablage.
Löscht alle Einträge des Protokolls.
Alle Protokolleinträge auswählen.
Die aktuelle Auswahl umkehren.

Seite 23
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.8 Regel-Suche
Über das Hauptmenü „Bearbeiten“ und Regeln
suchen... (siehe 1.4.2) kann man bestimmte oder
alle Regeln nach Begriffen durchsuchen.
Als Beispiel wurde hier im Bild unten nach „fire-
fox.exe“ gesucht. Die Übereinstimmungen wer-
den farblich hervorgehoben. Die Regel, der Regel-
typ, die übergeordnete Regel und deren Typ, die
Zugriffsberechtigung, der Zeitpunkt der Erstellung
der Regel und der Kommentar werden für die Su-
chergebnisse angezeigt.

Über das Kontextmenü sind für die Regelsuche folgende Funktionen vorhanden:
Zur ausgewählten Regel im Fenster „Regeln“ springen.
Die Auswahl in die Zwischenablage kopieren.
Die gewählten Einträge aus der Liste löschen.
Alle Einträge der Liste löschen.
Alle Einträge auswählen.
Die aktuelle Auswahl umkehren.

Seite 24
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3. Systemtools
3.1 Prozesse
Dies ist der Task-Manager von Malware Defender, über den man Informationen zu laufenden Programmen er-
hält. Nicht überprüfte Prozesse werden hier und bei den anderen Tools farblich hervorgehoben angezeigt.

1. Springe zur Datei:


Damit wird die betreffende Datei im Explorer von Malware Defender („Dateien“) angezeigt, mit dem man auf
alle Dateien Zugriff hat (siehe 3.6).
2. Regel hinzufügen...:
Öffnet das Fenster, um die Anwendungsregel für den gewählten Prozess zu bearbeiten.
3. Module / Handles:
Öffnet jeweils ein Fenster im unteren Bereich von „Prozesse“, in dem Prozessmodule angezeigt und entladen
werden können und Prozesshandles angezeigt und geschlossen werden können.
4. Threads...:
Öffnet ein Fenster, in dem man die Threads eines Prozesses angezeigt werden. Diese können angehalten, fort-
gesetzt und beendet werden und mittels „Stapel“ kann die Aufrufliste angezeigt werden.
5. In der Registrierung suchen...:
Öffnet das Fenster zum Durchsuchen der Registrierung im integrierten Registrierungseditor.
6. Im Internet suchen...:
Öffnet eine Browser Fenster mit einer Google Suche nach dem Namen des Prozesses.
Seite 25
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3.2 Kernel Module
Hier werden die Kernel Module (z.B. Gerätetreiber) angezeigt und es können die Kernel-Modus Threads und
Kernel DPC (Verzögerter Prozeduraufruf) Timer angezeigt und bearbeitet werden.

1. Kernel-Modus Threads...:
Öffnet ein Fenster, in dem die Kernel-Modus Threads angezeigt werden. Diese können angehalten, fortgesetzt
und beendet werden.
2. Kernel DPC Timer...:
Öffnet ein Fenster, in dem die Kernel DPC Timer angezeigt werden. Diese Timer können einzeln beendet wer-
den oder es können alle Timer für ein bestimmtes Modul beendet werden.

Seite 26
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3.3 Netzwerkstatus
Der Netzwerkstatus zeigt eine Übersicht über die aktuellen Netzwerkaktivitäten des Computers. Alle Verbin-
dungen werden mit dem Protokoll, der lokalen Adresse und dem lokalen Port, der Remote-Adresse und dem
Remote-Port und dem aktuellen Status der Verbindung angezeigt.

1. Verbindung beenden:
Bei einem entsprechenden Status der Verbindung kann mit dieser Funktion die ausgewählte Verbindung been-
det werden.
2. Remote-Adresse kopieren:
Mit dem Befehl kann die Remote-Adresse, also das Ziel der Verbindung, in die Zwischenablage kopiert werden.
3. Whois-Abfrage...:
Damit wird im Browser eine Whois-Abfrage für die Remote-Adresse der ausgewählten Verbindung angezeigt.
4. Remote-Adressen auflösen:
Bei einer Aktivierung werden neben den numerischen Remote-Adressen auch die aufgelösten Domain Namen
angezeigt.

Seite 27
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3.4 Hooks
Hier werden die Hooks des Systems nach Kategorien aufgelistet. Für jeden Eintrag wird das Modul mit der Mo-
dulbeschreibung und dem Modulherausgeber angezeigt und nach Kategorie der Typ des Hooks, der Name des
Hooks, die Beschreibung usw. angegeben.

1. Gewählte Hooks entfernen:


Den gewählten Hook oder die gewählten Hooks entfernen. Im Bild oben wäre das ein globaler Hook einer
Maus Software, die eine DLL (Amhooker.dll) in alle Prozesse lädt und mit dem WH_KEYBOARD „Haken“ Tasta-
tureingaben überwacht.
2. Alle Hooks entfernen:
Alle Hooks der aktuellen Kategorie entfernen.
Hinweis:
Das Anzeigen der vorhandenen Hooks für ein System ist sehr informativ und das Entfernen von Hooks kann zu
Diagnosezwecken oder bei der Entfernung von Schadprogrammen auch sehr hilfreich sein.
Aber ähnlich wie beim Beenden von Prozessen besteht auch beim Entfernen von Hooks das Risiko, dass das
System dadurch instabil wird, abstürzt oder Datenverlust dadurch verursacht wird.

Seite 28
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3.5 Autostarts
Hier werden die Programme und Komponenten des Systems in Kategorien angezeigt, die automatisch mit dem
System starten oder von Programmen, wie z.B. dem Internet Explorer, automatisch geladen werden.
Einträge können hier gelöscht werden und Dienste können zusätzlich dazu noch konfiguriert werden.

1. Löschen:
Einen Autostart löschen bzw. den Eintrag aus der Registrierung entfernen.
Malware Defender erstellt eine Liste der gelöschten Autostarts. Mit diesem Autostart-Verlauf (siehe 1.4.3)
kann das Löschen von Einträgen rückgängig gemacht werden und erfolgte Aktionen wiederholt werden.
2. Übernehmen:
Alle neuen Autostarts werden von Malware Defender hervorgehoben (Grün) und sind damit in den Listen ein-
fach zu erkennen. Mit Übernehmen werden ausgewählte Einträge übernommen und nicht mehr markiert.
3. Alles übernehmen:
Damit werden alle neuen Autostarts (Grün) übernommen und nicht mehr farblich hervorgehoben.
4. Dienste:
Bei der Kategorie Dienste stehen neben dem Löschen noch folgende Einstellungen zur Verfügung:
Den Starttyp konfigurieren: Automatisch, Manuell oder Deaktiviert.
Den Dienst Starten, Beenden, Anhalten, Fortsetzen oder Neu starten.

Seite 29
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3.6 Dateien
Dies ist der integrierte Explorer von Malware Defender. Mit ihm ist ein Zugriff auf alle Dateien und Ordner
möglich, also auch auf solche, die im Windows Explorer nicht sichtbar sind oder auf die man aufgrund von Be-
rechtigungen keinen Zugriff hat. Es lassen sich optional unter NTFS auch alternative Datenströme, Metadaten-
dateien und Analysepunkte anzeigen und es können gesperrte Dateien gelöscht werden, die gerade von einem
anderen Programm verwendet werden.

1. Öffnen/Suchen...:
Öffnen (bei Dateien): Öffnet die Datei mit dem verknüpften Standardprogramm.
Suchen... (bei Ordnern): Öffnet ein Fenster zur Suche nach Dateien, Ordnern und alternativen Datenströmen.
2. Mit dem Hex-Betrachter öffnen:
Öffnet die Datei oder den Datenstrom mit dem integrierten Hex-Betrachter.
3. Speichern unter:
Speichert die Datei oder den Datenstrom in einer neuen Datei an einem anderen Ort ab.
4. Löschen:
Löscht den Ordner, die Datei oder den Datenstrom. Achtung: Die Objekte werden nicht in den Papierkorb ver-
schoben, sondern sofort gelöscht.

Seite 30
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3.7 Registrierung
Der integrierte Registrierungseditor bietet ebenfalls vollen Zugriff, also auch auf Schlüssel und Werte, die im
Windows Registrierungseditor z.B. aufgrund von Berechtigungen ausgeblendet sind.

1. Ändern..., Binärdaten ändern.../Suchen...:


Ändern... (bei Werten): Öffnet ein Fenster zum Bearbeiten des Wertes.
Binärdaten ändern... (bei Werten): Öffnet ein Fenster zum Bearbeiten des Binärwertes.
Suchen... (bei Schlüsseln): Öffnet ein Fenster zum Durchsuchen der Registrierung.
2. Exportieren...: Öffnet ein Fenster zum Abspeichern der gewählten Einträge in einer Datei.
3. Neuer Schlüssel: Einen neuen Schlüssel erstellen.
4. Neuer Wert: Erstellbare Werte sind: Zeichenfolge (REG_SZ), Binärwert (REG_BINARY), DWORD-Wert
(REG_DWORD), Mehrteilige Zeichenfolge (REG_MULTI_SZ), Erweiterbare Zeichenfolge (REG_EXPAND_SZ), Big
Endian DWORD-Wert (REG_DWORD_BIG_ENDIAN), QWORD-Wert (REG_QWORD), Resource List-Wert
(REG_FULL_RESOURCE_LIST), Full Resource Descriptor-Wert (REG_FULL_RESOURCE_DESCRIPTOR), Resource
Requirements List-Wert (REG_RESOURCE_REQUIREMENTS_LIST).
5. Neue Symbolische Verknüpfung...: Eine neue Symbolische Verknüpfung (REG_LINK) erstellen.
6. Symbolische Verknüpfung löschen: Eine Symbolische Verknüpfung (REG_LINK) löschen.
7. Löschen: Ausgewählten Einträge löschen. Mit dem Registrierung-Verlauf (siehe 1.4.3) kann das Löschen von
Einträgen rückgängig gemacht werden und erfolgte Aktionen können wiederholt werden.
8. Umbenennen: Den Namen des Schlüssels oder des Wertes ändern.

Seite 31
MALWARE DEFENDER HIPS & SYSTEMTOOLS
4. Einstellungen
4.1 Allgemein
Zu 1: Standardmäßig startet Malware
Defender mit Windows. Wenn man
das Programm nur bei Bedarf nutzen
will, kann man hier den Autostart de-
aktivieren.
Zu 2: Mit dieser Einstellung werden
die digitalen Signaturen von Dateien
automatisch überprüft und das Ergeb-
nis bei „Herausgeber“ angezeigt.
Zu 3: Per Voreinstellung wird für den
Treiber ein Zufallsname gewählt. Dies
dient dem Selbstschutz und neue Pro-
grammversionen können ohne Neu-
start installiert werden. Bei Abwahl
wird der Name mdcore.sys verwendet.
4.2 Schutz
Zu 1: Die einzelnen Schutzkomponen-
ten können hier oder über das Menü
im Infobereich (siehe 1.3) aktiviert
oder deaktiviert werden.
Zu 2: Im Normalen Modus werden alle
verdächtigen Aktionen gemeldet.
Zu 3: Im Lernmodus werden für alle
neuen Aktionen ohne Nachfrage Er-
laubnisregeln erstellt.
Zu 4: Im Stillen Modus werden für alle
neuen Aktionen ohne Nachfrage Ver-
botsregeln erstellt.
Zu 5: Bei der Aktivierung werden
Dienststeuerungs-Manager und COM-
Schnittstellen nicht überwacht.
4.3 Protokoll
Zu 1: Mit dieser Option wird das Pro-
tokoll nicht im unteren Teil des Fens-
ters sondern als Tab rechts von „Re-
gistrierung“ angezeigt.
Zu 2: Damit werden zusätzlich alle
neuen Aktionen im Protokoll aufge-
zeichnet, die im Stillen Modus verbo-
ten wurden.
Zu 3: Die voreingestellten Farbcodes
für die Ereignisse der einzelnen
Schutzkomponenten können hier ge-
ändert werden.

Seite 32
MALWARE DEFENDER HIPS & SYSTEMTOOLS
4.4 Regeln
Zu 1: Wenn aktiviert, wird der Start
von Programmen erlaubt, wenn keine
Verbotsregel existiert. Alle anderen
verdächtigen Aktionen der Programme
werden jedoch gemeldet.
Zu 2: Diese Ausführungserlaubnis gilt
ebenfalls nur wenn keine Verbotsregel
für eine Anwendung bereits existiert.
Zu 3: Wenn aktiviert und wenn keine
Verbotsregel existiert, kann einer be-
nutzerdefinierten Liste von Anwen-
dungen der Start erlaubt werden.
Zu 4: Im Vollbildmodus (z.B. bei 3D
Spielen) kann „Fragen“ durch „Erlau-
ben“ oder „Verbieten“ ersetzt werden.
4.5 Prozesse
Zu 1: Wenn aktiviert, werden im
„Handles“ Fenster unbenannte Hand-
les von Prozessen angezeigt.
Zu 2: Wie oft die Anzeige für Prozesse
und Threads aktualisiert werden soll.
Zu 3: Hier kann man die Farbe wählen,
in der Prozesse, Threads und Module
von nicht überprüften Herausgebern
bzw. Herstellern angezeigt werden.
Also von solchen Objekten, die keine
überprüfte digitale Signatur haben.

4.6 Netzwerkstatus
Zu 1: Wenn deaktiviert, werden Ein-
träge ausgeblendet, bei denen aktuell
keine Verbindung hergestellt ist, wie
z.B. beim Zustand „ABHÖREN“.
Zu 2: Wenn deaktiviert, werden die
Namen der Länder nicht bei den Re-
mote-Adressen angezeigt.
Zu 3: Wenn deaktiviert, werden die
Domain-Namen nicht bei den Remote-
Adressen angezeigt.
Zu 4: Wie oft die Anzeige für den
Netzwerkstatus aktualisiert werden
soll.

Seite 33
MALWARE DEFENDER HIPS & SYSTEMTOOLS
4.7 Hooks
Zu 1: Wenn deaktiviert, werden alle
Interrupts bei der „Interruptdeskriptor-
tabelle (IDT)“ angezeigt.
Zu 2: Wenn deaktiviert, werden bei
„Angeschlossene Geräte“ alle ange-
schlossenen Geräte angezeigt.
Zu 3: Wenn deaktiviert, werden bei
„Treiber-Verteilerroutinen“ die Vertei-
lerroutinen von allen Treibern ange-
zeigt.
Zu 4: Wenn deaktiviert, werden bei
„Benutzermodus Code-Hooks“ alle
DLLs beim Scan geprüft.

4.8 Autostarts
Zu 1: Wenn aktiviert, werden auch Be-
reiche der Liste angezeigt, die keinen
Eintrag enthalten.
Zu 2: Wenn aktiviert, werden die Ein-
träge von signierten Microsoft Datei-
en ausgeblendet.
Zu 3: Wenn deaktiviert, wird nach dem
Löschen von Einträgen nicht zum er-
neuten Scannen aufgefordert.
Dies gilt dann auch für das Rückgän-
gig machen oder Wiederherstellen
über den „Autostart-Verlauf“, danach
wird dann ebenfalls nicht zum erneu-
ten Scannen aufgefordert.

4.8 Dateien
Zu 1: Wenn aktiviert, werden die an
eine Datei gebundenen (aber normal
nicht sichtbaren) alternativen Daten-
ströme angezeigt.
Zu 2: Wenn aktiviert, werden die Me-
tadatendateien (z.B. „$AttrDef“, siehe
3.6) angezeigt, die von der Windows-
API normal ebenfalls ausgeblendet
werden.
Zu 3: Wenn aktiviert, werden Analyse-
punkte angezeigt, mit denen Dateisys-
temeinträge mit Funktionen verknüpft
werden.

Seite 34
MALWARE DEFENDER HIPS & SYSTEMTOOLS
4.8 Registrierung
Zu 1: Wenn deaktiviert, werden die
Schlüssel nur im linken Fenster ange-
zeigt, so wie das auch beim Registrie-
rungseditor von Windows der Fall ist.
Zu 2: Die Farbe wählen, in der Symbo-
lische Verknüpfungen (REG_LINK)
dargestellt werden, die analog zu den
Dateiverknüpfungen auf ein anderes
Objekt verweisen.

4.9 Schriftart
Zu 1: Ein Fenster öffnen, um die
Schriftart und Schriftgröße der Benut-
zeroberfläche zu ändern.
Zu 2: Die Einstellungen der Schrift für
die Benutzeroberfläche auf die Stan-
dardwerte zurücksetzen.

4.10 Bestätigungen
Hier kann man die Dialogfenster zur
Bestätigung der angezeigten Aktionen
deaktivieren, falls diese nicht er-
wünscht sind.

Seite 35
MALWARE DEFENDER HIPS & SYSTEMTOOLS
4.11 Tastaturbefehle
Zu 1: Mit dieser Option kann man alle
Tastaturbefehle deaktivieren.
Zu 2: Damit kann man alle Tastaturbe-
fehle löschen, wenn man alle oder nur
einige neu definieren will.
Zu 3: Mit dieser Option werden alle
Tastaturbefehle auf ihre Voreinstel-
lung zurückgesetzt.

4.12 IP Datenbank
Zu 1: Mit der Schaltfläche kann man
einen Speicherort für die Datei mit der
„IP-Länder Datenbank“ bestimmen.
Diese Liste wird verwendet, um neben
den Remote-Adressen im Fenster
„Netzwerkstatus“ und beim Alarm-
fenster des Netzwerkschutzes das
Herkunftsland der IP-Adresse anzuzei-
gen.
Zu 2: Damit kann man ein manuelles
Update der „IP-Länder Datenbank“
ausführen.

4.13 Schutzstatus
Das Malware Defender Symbol im Infobereich der Taskleiste zeigt den Status des eingestellten Schutzmodus
und ob alle Schutzkomponenten aktiviert sind oder nicht.
Alle Schutzkomponenten sind deaktiviert.
Der „Normale Modus“ ist aktiviert und alle Schutzkomponenten sind aktiviert.
Der „Normale Modus“ ist aktiviert, aber nicht alle Schutzkomponenten sind aktiviert.
Der „Lernmodus“ ist aktiviert und alle Schutzkomponenten sind aktiviert.

Der „Lernmodus“ ist aktiviert, aber nicht alle Schutzkomponenten sind aktiviert.
„Stiller Modus“ oder „Benutzeroberfläche gesperrt“ und alle Schutzkomponenten sind aktiviert.
„Stiller Modus“ oder „Benutzeroberfläche gesperrt“, aber nicht alle Schutzkomponenten sind aktiviert.

© subset

Seite 36