Beruflich Dokumente
Kultur Dokumente
Wenn man Malware Defender allerdings auf einem kompromittierten System installiert, dann sollte man den
Lernmodus schon bei diesem Fenster deaktivieren, da sonst Erlaubnisregeln für Schadprogramme automatisch
erstellt werden könnten.
Seite 1
MALWARE DEFENDER HIPS & SYSTEMTOOLS
1.2.2 Kernel Symbole
Gleich nach dem ersten Programmstart erscheint
auch ein Dialogfenster zum Herunterladen der Kernel
Symbole.
Diese Symbole werden von Malware Defender für die
volle Funktionsfähigkeit einiger Systemtools benö-
tigt.
Das HIPS funktioniert auch ohne diese Symbole voll-
ständig.
Nach diesem Fenster erscheinen noch zwei weitere
Bestätigungsfenster, das Erste zum Herunterladen
der Symbole im Hintergrund und das Zweite in engli-
scher Sprache mit den Lizenzbestimmungen für den
Download der Kernel Symbole von Microsoft.
1.3 Menü im Infobereich
Die Programmoberfläche öffnen.
Die Programmeinstellungen öffnen.
Eine Regel-Datei aktivieren.
Komponenten des Echtzeitschutzes (de)aktivieren.
Interaktive Regelerstellung.
Erlauben statt Fragen (Automatische Regelerstellung).
Verbieten statt Fragen (Automatische Regelerstellung).
Das Fenster für den Kennwortschutz öffnen.
Den Kennwortschutz für die Oberfläche (de)aktivieren.
Das Programm und den Echtzeitschutz beenden.
1.4 Hauptmenüs
1.4.1 Datei
1.4.2 Bearbeiten
___________________________________________________
Seite 2
MALWARE DEFENDER HIPS & SYSTEMTOOLS
1.4.3 Ansicht
Das Protokoll, die Suchergebnisse und Verläufe im unteren Teil des Hauptfens-
ters anzeigen oder verbergen.
_________________________________________________________________
Module/Handles von Prozessen im Fenster „Prozesse“ anzeigen oder verbergen.
_________________________________________________________________
Die Symbolleiste fixieren.
Die Voreinstellung für alle Ansichten wiederherstellen.
Die Ansicht aktualisieren.
1.4.4 Regeln
1.4.5 Extras
Seite 3
MALWARE DEFENDER HIPS & SYSTEMTOOLS
1.4.6 Fenster
1.4.7 Hilfe
1.5 Statusleiste
Malware Defender bietet eine integrierte Hilfe-
funktion über die Statusleiste.
Wenn man den Mauszeiger auf einen Befehl der
Programmmenüs oder der Kontextmenüs bewegt,
dann erscheint in der Statusleiste eine Information
zum gewählten Befehl.
Seite 4
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2. HIPS (Echtzeitschutz)
2.1 Regeln
2.1.1 Allgemein
Der Echtzeitschutz von Malware Defender basiert auf Regeln. Eine große Anzahl von Regeln für die Registrie-
rung, Dateien, das Netzwerk und Anwendungen sind bereits im Programm enthalten. Etwa Dateiregeln zum
Schutz von ausführbaren Systemdateien, Registrierungsregeln für Autostartbereiche, Netzwerkregeln für die
Adressbereiche von Microsoft oder Anwendungsregeln für die wichtigsten Systemprogramme von Windows.
Regeln können über die Alarmfenster von Malware Defender erstellt werden oder direkt im Hauptfenster des
Programms unter „Regeln“ und in den Tabs der einzelnen Anwendungsregeln.
Bei den Regeln sind die einige Dinge zu beachten, die in den folgenden Punkten erläutert werden.
2.1.2 Prioritäten
Prioritätszahlen
Seite 5
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Die erste Regel (oben) hat die niedrigste Priorität (0), bei jeder folgenden erhöht sich die Zahl um 1. Die zuletzt
hinzugefügte Regel hat immer die höchste Priorität. Regeln können aber per Drag & Drop oder mit den Pfeilen
rechts im Bild umsortiert werden.
Diese Regelpriorität ist dann besonders zu beachten, wenn z.B. wie im Bild eine Netzwerkregel erstellt wird,
die alles verbietet. Hätte die „Verbieten“ Regel die höchste Priorität (3), dann wären die „Erlauben“ Regeln wir-
kungslos, da die „Verbieten“ Regel als Regel mit höchster Priorität zuerst zur Anwendung käme.
Die Regeln werden also beginnend mit der höchsten Zahl vom Programm abgearbeitet.
Regelprioritäten
Globale Regeln für Dateien, die Registrierung und das Netzwerk haben eine niedrigere Priorität als die Regeln
für Dateien, die Registrierung und das Netzwerk, die in den Anwendungsregeln definiert sind.
Das hat den praktischen Hintergrund, dass man nur so dauerhafte Ausnahmen zu globale Regeln definieren
kann. Beispielsweise wird nach einer globalen Dateiregel die Veränderung der hosts Datei abgefragt, man kann
aber einem bestimmten Programm per Anwendungsregel das Verändern der hosts Datei dauerhaft ohne wei-
tere Nachfrage erlauben.
Ähnliches gilt für Gruppen. Deren Regeln haben eine niedrigere Priorität als die Anwendungsregeln, aber eine
höhere als die globalen Regeln.
Das Programm sucht also nach einer eindeutigen Anweisung (wie „Erlauben“, „Verbieten“ usw.) zuerst in
den Anwendungsregeln, dann in den Gruppenregeln und zuletzt kommen die globalen Regeln zur Anwen-
dung.
2.1.3 Status
Jede Regel hat einen Status, für diesen gibt es drei verschiedene Zustände.
• Aktiviert – eine permanente Regel, die aktiv ist und bei der Suche nach Regeln berücksichtigt wird.
• Deaktiviert – eine permanente Regel, die inaktiv ist und bei der Suche nach Regeln nicht berücksichtigt
wird.
• Temporär – diese Regeln gelten nur bis der Prozess für diese Regel beendet wird und werden dann gelöscht.
2.1.4 Rechte
Allgemeine Rechte
Für die Regeln gibt es die folgenden allgemeinen Rechte:
• Ignorieren – damit setzt Malware Defender die Suche nach einer Regel mit niedrigerer Priorität fort.
• Fragen – der Benutzer wird nach einer Entscheidung gefragt, es erscheint ein Alarmfenster.
• Erlauben – die betreffende Aktion wird erlaubt.
• Verbieten – die betreffende Aktion wird verboten.
• Verbieten und Prozess beenden – die betreffende Aktion wird verboten und der Prozess beendet.
Spezielle Rechte
Diese speziellen Rechte gelten nur für die jeweils angeführten Regeltypen in Klammern.
• Lesen-Berechtigung – (Dateiregeln) ob eine Datei gelesen werden darf. Bei einem Verbot wird auch auto-
matisch das Schreiben, Erstellen und Löschen dieser Datei verboten.
• Schreiben-Berechtigung – (Dateiregeln, Registrierungsregeln) ob eine Datei oder ein Registrierungseintrag
geschrieben werden darf.
• Erstellen-Berechtigung – (Dateiregeln) ob eine neue Datei erstellt werden darf.
• Löschen-Berechtigung – (Dateiregeln) ob eine Datei gelöscht werden darf.
• Ausführen-Berechtigung – (Regeln für Anwendungen, Treiber und Hook-Module) ob eine Anwendung, ein
Treiber oder ein Hook-Modul (meist eine DLL) ausgeführt bzw. geladen werden darf.
Seite 6
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.1.5 Gruppen
Gruppen sind dazu da um Objekte mit den gleichen Rechten zu verwalten.
Für die Registrierung, Dateien, das Netzwerk und Anwendungen gibt es solche Gruppen. Einige Gruppen sind
bereits im Programm enthalten, diese können aber verändert werden oder es können auch neue Gruppen er-
stellt werden.
Gruppen können auch bei den Anwendungsregeln für „Untergeordnete Anwendungen“, „Zielanwendungen“,
„Dateien“, „Registrierung“ und „Netzwerk“ zugewiesen werden. Man kann damit beispielsweise einer Anwen-
dung einen Zugriff auf alle Registrierungseinträge der Gruppe „Autostartbereiche“ mit einer Regel erlauben
oder verbieten.
Auch in einer Gruppe haben die speziellen Anwendungsrechte wieder eine höhere Priorität als die globalen
Rechte, die für diese Gruppe definiert sind. Die Gruppenrechte kommen also nur dann zur Anwendung, wenn
in den Rechten der speziellen Anwendung „Ignorieren“ eingestellt ist, andernfalls haben die Einstellungen für
die Anwendung höhere Priorität.
Wenn eine neue Gruppe erstellt wurde, ist diese erst dann im Fenster „Regeln“ sichtbar, wenn für die neue
Gruppe Regeln definiert wurden. Man muss also zuerst z.B. eine neue Anwendungsgruppe erstellen und dann
im Fenster „Regeln“ rechts klicken, „Neue Regel“ und „Anwendungsregel“ wählen. Danach über „Eine Anwen-
dungsgruppe wählen“ die neue Gruppe auswählen und die gewünschten Regeln für diese definieren. Dann ist
die neue Gruppe im Fenster „Regeln“ sichtbar.
2.1.6 Vordefinierte Regeln
Diese Regeln sind im Fenster „Regeln“ an der blauen Farbe zu erkennen. Sie betreffen die elementarsten Re-
geln von Malware Defender und können weder deaktiviert noch gelöscht werden. Teilweise können die Ein-
stellungen in diesen vordefinierten Regeln allerdings verändert werden, wie z.B. die Rechte der Windows Pro-
gramme in der Gruppe „Anwendungsregeln – System“. Wie genau man in dieser Gruppe die wichtigsten An-
wendungen des Betriebssystems also überwachen will, bleibt einem selbst überlassen.
2.1.7 Platzhalter
Bei der Erstellung von Regeln können folgende Platzhalter verwendet werden:
* – der Stern steht für kein Zeichen oder beliebig viele Zeichen. Damit kann man z.B. mittels C:\* alle Objekte
in diesem Verzeichnis in eine Regel einschließen.
? – das Fragezeichen steht für ein beliebiges Zeichen. Damit kann man z.B. eine Regel erstellen, die für alle
Laufwerke gilt, also ?:\
2.1.8 Umgebungsvariable
Malware Defender unterstützt eine Reihe von Umgebungsvariablen, welche für die Regelerstellung verwendet
werden können. Die entsprechenden Ordner für diese Umgebungsvariablen sind je nach der verwendeten
Windows Version etwas unterschiedlich. Wo der betreffende Ordner für die jeweilige Umgebungsvariable ge-
nau ist, kann man einfach herausfinden, indem man sie in die Adressleiste des Windows Explorers eingibt. Hier
sind für die Umgebungsvariablen die allgemeinen Orte angegeben.
Seite 7
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.1.9 Relative Pfade
Relative Pfadangaben können bei Regeln für Untergeordnete Anwendungen, Zielanwendungen, Treiber, Hook-
Module, Dynamische Bibliotheken und Dateiregeln verwendet werden.
.\ – steht für das aktuelle Verzeichnis, diese Pfadangabe bezieht sich also auf Objekte im gleichen Verzeichnis.
..\ – steht für das übergeordnete Verzeichnis in Bezug zum aktuellen Verzeichnis (auch mehrfach anwendbar).
2.1.10 Kontextmenü
2.2 Dateiregeln
2.2.1 Globale Dateiregeln
Seite 8
MALWARE DEFENDER HIPS & SYSTEMTOOLS
?:\ – diese Regel erlaubt nur das Lesen von Dateien im Stammverzeichnis eines beliebigen Laufwerks. Das ver-
suchte Schreiben, Erstellen und Löschen einer Datei im Stammverzeichnis eines beliebigen Laufwerks erzeugt
ein Alarmfenster von Malware Defender.
* Für jede Aktion kann die Protokollierung aktiviert oder deaktiviert werden. Bei Aktivierung der Protokollie-
rung wird beim Auslösen der Regel ein Eintrag im Protokoll erzeugt.
Praktisch kann man mit diesen völlig frei zu konfigurierenden Dateiegeln jede beliebige Datei oder jeden belie-
bigen Ordner des Systems überwachen. Man kann z.B. Lesezugriffe auf ganz bestimmte private Dokumente
ebenso überwachen wie das versuchte Überschreiben von Dateien in einem bestimmten Ordner.
2.3 Registrierungsregeln
2.3.1 Globale Registrierungsregeln
Seite 9
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Die Registrierungsregeln sind in den "Globalen Registrierungsregeln" zusammengefasst.
Diese Regeln bestehen aus einzelnen Regeln und Regeln für Registrierungsgruppen:
* – die erste Regel ist eine vordefinierte Regel (blau) und die Regel mit der niedrigsten Priorität. Sie erlaubt
grundsätzlich das Schreiben von Registrierungseinträgen. Die Ausnahmen zu dieser „Alles erlauben“ Regel
werden in den Registrierungsgruppen und den weiteren Regeln definiert. Da alle anderen Regeln eine höhere
Priorität haben, kommt die erste Regel mit der Priorität 0 nur dann zur Anwendung, wenn keine Regel mit hö-
herer Priorität etwas Gegenteiliges vorschreibt.
Registrierungsgruppen – hier sind Rechte für bestimmte Bereiche definiert. Für „Autostartbereiche“ etwa gilt
die Regel: das versuchte Schreiben von Einträgen in diese überwachten Bereiche der Registrierung erzeugt ein
Alarmfenster von Malware Defender.
Wieder kann man mit den frei zu konfigurierenden Regeln jeden beliebigen Bereich der Registrierung überwa-
chen. Wenn man z.B. einen alternativen Browser verwendet, kann man Regeln für die relevanten Bereiche der
Registrierung für diesen Browser erstellen. Vordefiniert ist der Registrierungsschutz für die Bereiche des Inter-
net Explorer.
2.4 Netzwerkregeln
2.4.1 Globale Netzwerkregeln
Seite 10
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Die Netzwerkregeln sind in den "Globalen Netzwerkregeln" zusammengefasst.
Diese Regeln bestehen aus einzelnen Regeln und Regeln für Netzwerkgruppen:
Erste Regel (Priorität 0) – die erste Regel ist eine vordefinierte Regel (blau) und die Regel mit der niedrigsten
Priorität. Sie legt fest, dass bei jeder Netzwerkaktivität ein Alarmfenster erscheint. Die Ausnahmen zu dieser
„Immer fragen“ Regel werden in den Netzwerkgruppen und den weiteren Regeln definiert. Da alle anderen Re-
geln eine höhere Priorität haben, kommt die erste Regel mit der Priorität 0 nur dann zur Anwendung, wenn
keine Regel mit höherer Priorität etwas Gegenteiliges vorschreibt.
Netzwerkgruppen – hier sind Rechte für bestimmte Bereiche definiert. In „Vertrauenswürdige Netzwerkadres-
sen“ sind beispielsweise die IP-Bereiche von Microsoft und VeriSign erlaubt. Wie immer kann man aber auch
hier eigene Gruppen erstellen. Beispielsweise eine Gruppe „Blockierte Ports“, in der man Ports definiert, die
man für eingehende Verbindungen global für alle Anwendungen oder eine Anwendungsgruppe sperrt.
Remote-Adressen bestimmen.
Remote-Ports bestimmen.
* Der Netzwerkschutz von Malware Defender bietet als Protokolle TCP, UDP und Raw IP, wobei unter Raw IP di-
verse andere Protokolle zusammengefasst sind. So gibt es beispielsweise für das Protokoll ICMP keine eigene
Meldung, sondern das Alarmfenster verweist auf das Protokoll Raw IP.
Hinweis:
Der Netzwerkschutz von Malware Defender bietet keine voll ausgestattete Firewall, allerdings ist er voll kom-
patibel zur Windows Firewall und kann problemlos mit ihr gemeinsam genutzt werden.
Man kann auch eine Firewall eines Drittanbieters gemeinsam mit Malware Defender nutzen und beispielswei-
se den Netzwerkschutz von Malware Defender dann deaktivieren.
Malware Defender nutzt das Windows-eigene Basisfiltermodul, es wird also kein eigener Firewall Treiber in-
stalliert, der mit dem Firewall Treiber eines Drittanbieters einen Konflikt verursachen könnte.
Seite 11
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.5 Anwendungsregeln
2.5.1 Anwendungsregeln – Allgemein
Die Anwendungsregeln (mit Ausnahme der Anwendungsregeln für das System, siehe 2.5.2) sind in den "An-
wendungsregeln – Allgemein" zusammengefasst.
Diese Regeln bestehen aus einzelnen Regeln und Regeln für Anwendungsgruppen:
* – die erste Regel ist eine vordefinierte Regel (blau) und die Regel mit der niedrigsten Priorität. In ihr sind alle
Rechte nach der Voreinstellung auf „Fragen“ eingestellt (mit Ausnahme des Ladens von DLLs und des Zugriffs
auf die COM-Schnittstelle). Diese Basisregel legt fest, dass bei jeder überwachten Aktion einer Anwendung ein
Alarmfenster von Malware Defender erscheint. Die Ausnahmen zu dieser „Immer fragen“ Regel werden in den
Anwendungsgruppen und den einzelnen Anwendungsregeln definiert. Da alle anderen Regeln eine höhere
Priorität haben die erste Regel mit Priorität 0, kommt die Basisregel nur dann zur Anwendung, wenn keine Re-
gel mit höherer Priorität etwas Gegenteiliges vorschreibt.
Anwendungsgruppen – hier sind Rechte für bestimmte Typen von Anwendungen definiert.
Für die einzelnen vordefinierten Gruppen gelten folgende Regeln:
Installations- und Updateprogramme:
Programme dieser Gruppe dürfen Dateien lesen, schreiben, erstellen und löschen und sie dürfen Registrie-
rungseinträge erstellen. Alle anderen Aktionen werden überwacht und gemeldet.
Vertrauenswürdige Anwendungen:
Programme dieser Gruppe dürfen nach der vordefinierten Gruppenregel alles, auch auf das Netzwerk zugrei-
fen. Diese Gruppe ist z.B. für Programme des Betriebssystems und vertrauenswürdige Programme von Drittan-
bietern gedacht, die man nicht überwachen will.
Blockierte Anwendungen:
Programmen dieser Gruppe ist praktisch alles verboten. In diese Gruppe können schädliche Programme ge-
nauso verschoben werden wie lästige Zusatzprogramme diverser Anwendungen, wie z.B. Update Komponen-
ten, die bei jedem Start eines Programms aktiv werden oder beim Update Werbefenster anzeigen.
Internet Explorer – der Internet Explorer steht hier als Beispiel für alle Programme, die keiner Gruppe zuge-
ordnet sind. Wenn Programme zum ersten Mal starten und man im Alarmfenster keine Gruppe wählt, oder die
Programme im Lernmodus erkannt werden, dann kommen die Programme im Regelfenster in diesen Bereich.
Die Rückfallregel ist für all diese Programme die erste vordefinierte Regel mit dem Stern (blau, Priorität 0). Da
diese vordefinierte Regel aber eine sehr genaue Überwachung vorsieht, sollte man die Anwendungen in die-
sem Bereich möglichst bald entsprechenden Gruppen zuordnen.
Die Gruppen können bei Malware Defender vom Benutzer frei konfiguriert
werden. Über das Programmmenü „Regeln“ kann mit „Anwendungs-
gruppen...“ das entsprechende Fenster geöffnet werden und dort kann man
nach den eigenen Vorstellungen auch ein ganz anderes Gruppensystem er-
stellen und benennen, wie im Bild links zu sehen ist. Jede Gruppe hat ihre ei-
genen Regeln und jedes neue Programm kann man sofort der richtigen Grup-
pe zuordnen, was viele „unnötige“ Alarmfenster verhindern kann.
Seite 12
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.5.2 Anwendungsregeln – System
Hier sind die wichtigsten Anwendungen von Windows zusammengefasst. Diese vordefinierten Regeln (blau)
können nicht gelöscht oder deaktiviert werden, die Einstellungen der einzelnen Regeln können aber verändert
werden. Diese Regeln haben alle die gleiche Priorität und sie haben von allen Anwendungsregeln automatisch
immer die höchste Priorität. Verbotsregeln innerhalb dieser Anwendungen sollten nur mit entsprechendem
Wissen über die betreffenden Funktionen des Betriebssystems erstellt werden, da es sonst zu schwerwiegen-
den Problemen kommen kann.
Hier werden die Rechte für eine Anwendung oder eine Anwendungsgruppe definiert.
Es werden also praktisch die Weichen gestellt, welche Reaktionen von Malware Defender auf die einzelnen Ak-
tionen von Programmen folgen bzw. welche Aktionen für eine Anwendungsgruppe erlaubt, verboten usw.
sind. Zusätzlich kann für jede überwachte Aktion die Protokollierung aktiviert oder deaktiviert werden.
1. Ausführung dieser Anwendung:
Die Startberechtigung für ein Programm. Diese Regel kommt nur dann zur Anwendung, wenn keine Regel mit
höherer Priorität etwas anderes vorschreibt. Wenn beispielsweise die Ausführung eines Programms hier ver-
boten wird, aber das Programm als untergeordnete Anwendung des Windows Explorers erlaubt ist, dann wird
das Verbot hier ignoriert, da die Regel des Windows Explorers immer die höchste Priorität hat.
2. Neue Prozesse erstellen:
Ob das Programm neue Prozesse erstellen bzw. andere Programme starten darf. Die betreffenden Programme
werden im Tab Untergeordnete Anwendungen (siehe 2.5.3.3) aufgelistet.
3. Auf den Speicher anderer Prozesse zugreifen:
Ob das Programm in den Speicherbereich von anderen Programmen schreiben darf oder die Speicherattribute
anderer Prozesse ändern darf. Diese Programme werden im Tab Zielanwendungen (siehe 2.5.3.4) aufgelistet.
4. Andere Prozesse und Threads kontrollieren:
Hier sind Überwachungsfunktionen für folgende Vorgänge zusammengefasst:
• Remote-Threads erstellen.
• Threads von anderen Prozessen verändern, anhalten oder beenden.
• andere Prozesse anhalten, beenden oder debuggen.
• die Fenster von anderen Prozessen manipulieren.
Seite 14
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Die betreffenden Programme werden im Tab Zielanwendungen (siehe 2.5.3.4) aufgelistet.
5. Nachrichten an andere Prozesse senden:
Ob das Programm andere Programme mittels Nachrichten manipulieren darf. Die betreffenden Programme
werden im Tab Zielanwendungen (siehe 2.5.3.4) aufgelistet.
6. Handle von/zu anderen Prozessen duplizieren:
Ob das Programm andere Programme durch das Duplizieren von Handles manipulieren darf. Die betreffenden
Programme werden im Tab Zielanwendungen (siehe 2.5.3.4) aufgelistet.
7. Kerneltreiber laden:
Ob das Programm Kernelmodus-Treiber laden darf. Die betreffenden Treiber werden im Tab Treiber (siehe
2.5.3.5) aufgelistet.
8. Zugriff auf Kernel-Speicher/Objekte:
Ob das Programm auf Kernel-Speicher oder auf Kernel-Objekte zugreifen darf.
9. Physischer Speicherzugriff:
Ob das Programm direkt auf physische Speicheradressen zugreifen darf.
10. Physischer Datenträgerzugriff:
Ob das Programm direkt auf physische Datenträger zugreifen darf.
11. Tastaturzugriff auf niedriger Ebene:
Ob das Programm Eingaben direkt auslesen oder simulieren darf.
12. Registrierungszugriff auf niedriger Ebene:
Hier sind Überwachungsfunktionen für folgende Vorgänge zusammengefasst:
• Registrierungseinträge mittels einer Registrierungsstrukturdatei ersetzen.
• Registrierungseinträge umbenennen.
• einen Symbolischen Link (REG_LINK) in der Registrierung erstellen.
13. Nachrichten/Ereignis Hooks installieren:
Ob das Programm globale Nachrichten-Hooks oder Ereignis-Hooks installieren darf. Die betreffenden Dateien
werden im Tab Hook-Module (siehe 2.5.3.6) aufgelistet.
14. Systemzeit verändern:
Ob das Programm das Datum und die Uhrzeit des Betriebssystems verändern darf.
15. Windows herunterfahren:
Ob das Programm die Systemereignisse „Abmelden“, „Neu starten“ und „Herunterfahren“ auslösen darf.
16. Auf den Dienststeuerungs-Manager zugreifen:
Ob das Programm auf den Dienststeuerungs-Manager zugreifen darf, um Dienste/Treiber:
• zu installieren, zu entfernen oder zu ändern.
• zu starten, zu beenden, anzuhalten oder fortzusetzen.
17. Dynamische Bibliotheken (DLLs) laden:
Ob das Programm Dynamische Bibliotheken (Englisch: Dynamic Link Libraries, kurz DLLs) laden darf. Die betref-
fenden DLL-Dateien werden im Tab Dynamische Bibliotheken (siehe 2.5.3.7) aufgelistet.
18. Auf COM-Schnittstellen zugreifen:
Ob das Programm auf die COM (Component Object Model) Schnittstelle zugreifen darf. Die betreffenden
COM-Schnittstellen werden im Tab COM-Schnittstellen (siehe 2.5.3.8) aufgelistet.
19. Alle Rechte ändern auf >
Damit kann man alle Rechte auf eine der verfügbaren Einstellungen ändern.
Seite 15
MALWARE DEFENDER HIPS & SYSTEMTOOLS
20. Protokollieren
Damit kann man die Protokollierung für einzelne Aktionen aktivieren oder deaktivieren. Entsprechende Ereig-
nisse werden im Fenster Protokoll (siehe 2.7) aufgelistet.
21. Alles protokollieren
Damit kann man die Protokollierung für alle Aktionen aktivieren oder deaktivieren. Die entsprechenden Ereig-
nisse werden im Fenster Protokoll (siehe 2.7) aufgelistet.
Hier werden die Programme verwaltet, die ein Programm zu starten versucht. Diese werden als untergeordne-
te Anwendungen oder auch als Child-Anwendungen bezeichnet. Die entsprechende Funktion beim Tab Regeln
ist Neue Prozesse erstellen. Wenn für ein Programm keine Regel unter „Untergeordnete Anwendungen“ ge-
funden wird oder diese Regel auf „Ignorieren“ eingestellt ist, dann wird die Berechtigung für „Ausführung die-
ser Anwendung“ beim Tab „Regeln“ verwendet.
2.5.3.4 Zielanwendungen
Bei den Zielanwendungen werden die Programme verwaltet, die ein Programm zu manipulieren versucht.
Die Spaltenbezeichnungen und ihre entsprechenden Berechtigungen beim Tab Regeln:
• Auf Prozess zugreifen – Auf den Speicher anderer Prozesse zugreifen
• Prozess kontrollieren – Andere Prozesse und Threads kontrollieren
• Nachricht senden – Nachrichten an andere Prozesse senden
• Handle duplizieren – Handle von/zu anderen Prozessen duplizieren
Seite 16
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Wenn keine entsprechende Regel für Zielanwendungen vorhanden ist oder diese Regel auf „Ignorieren“ einge-
stellt ist, dann werden die oben angeführten Berechtigungen vom Tab „Regeln“ verwendet.
2.5.3.5 Treiber
Unter „Treiber“ sind die Kerneltreiber aufgelistet, die ein Programm zu laden versucht hat. Wenn hier keine
entsprechende Regel vorhanden ist oder die „Ausführen“ Berechtigung auf „Ignorieren“ eingestellt ist, dann
wird die Berechtigung für „Kerneltreiber laden“ vom Tab „Regeln“ verwendet.
2.5.3.6 Hook-Module
Hier sind die Hook-Module aufgelistet, die ein Programm zu installieren versucht hat. Wenn hier keine entspre-
chende Regel vorhanden ist oder die „Ausführen“ Berechtigung auf „Ignorieren“ eingestellt ist, dann wird die
Berechtigung für „Nachrichten/Ereignis Hooks installieren“ vom Tab „Regeln“ verwendet.
2.5.3.7 Dynamische Bibliotheken
Seite 17
MALWARE DEFENDER HIPS & SYSTEMTOOLS
Hier werden die Dynamischen Bibliotheken aufgelistet, die ein Programm zu laden versucht hat. Wenn hier
keine entsprechende Regel vorhanden ist oder die „Ausführen“ Berechtigung auf „Ignorieren“ eingestellt ist,
dann wird die Berechtigung für „Dynamische Bibliotheken (DLLs) laden“ vom Tab „Regeln“ verwendet.
Hinweis: Das Laden von Dynamischen Bibliotheken ist nach der ersten Regel mit der Priorität 0 bei „Anwen-
dungsregeln – Allgemein“ (siehe 2.5.1) auf „Erlauben“ eingestellt, man kann diese Einstellung aber auch global
oder für einzelne Anwendungen nach den eigenen Vorstellungen ändern.
2.5.3.8 COM-Schnittstellen
Hier werden die Zugriffe eines Programms auf die COM (Component Object Model) Schnittstellen aufgelistet.
Wenn hier keine entsprechende Regel vorhanden ist oder die „Ausführen“ Berechtigung auf „Ignorieren“ ein-
gestellt ist, dann wird die Berechtigung für „Auf COM-Schnittstellen zugreifen“ vom Tab „Regeln“ verwendet.
Der Zugriff auf die COM-Schnittstellen ist nach der ersten Regel mit der Priorität 0 bei „Anwendungsregeln –
Allgemein“ (siehe 2.5.1) auf „Erlauben“ eingestellt, aber es sind in dieser Regel auch schon Ausnahmen im dor-
tigen Tab „COM-Schnittstellen“ definiert, bei denen „Fragen“ für wichtige COM-Schnittstellen eingestellt ist.
Man kann diese Einstellungen aber wiederum global oder für einzelne Anwendungen ändern.
2.5.3.9 Dateien
Hier finden sich die Dateiregeln für ein Programm. Nach der Voreinstellung werden nur bestimmte Systembe-
reiche durch die „Globalen Dateiregeln“ (siehe 2.2.1) überwacht. Versucht ein Programm z.B. eine Datei für
einen Treiber (.drv) zu erstellen, dann erscheint ein Alarmfenster von Malware Defender.
Wenn keine entsprechende Regel vorhanden ist, werden die Aktionen des Programms ignoriert.
Die einzelnen Dateiregeln können über das Fenster „Dateiregeln bearbeiten“ (siehe 2.2.2) editiert werden.
Seite 18
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.5.3.10 Registrierung
Hier finden sich die Registrierungsregeln für ein Programm. Nach der Voreinstellung werden nur bestimmte
Registrierungsbereiche durch die „Globale Registrierungsregeln“ (siehe 2.3.1) überwacht. Versucht ein Pro-
gramm einen Schlüssel in einem überwachten Bereich zu erstellen, dann erscheint ein Alarmfenster von Mal-
ware Defender.
Wenn keine entsprechende Regel vorhanden ist, werden die Aktionen des Programms ignoriert.
Die einzelnen Registrierungsregeln können über das Fenster „Registrierungsregeln bearbeiten“ (siehe 2.3.2)
editiert werden.
2.5.3.11 Netzwerk
Hier werden die ausgehenden und eingehenden Verbindungsversuche eines Programms aufgelistet. Nach der
Voreinstellung werden alle Verbindungsversuche von Malware Defender überwacht.
Wenn keine entsprechende Regel vorhanden ist, dann erscheint ein Alarmfenster von Malware Defender.
Die einzelnen Netzwerkregeln können über das Fenster „Netzwerkregeln bearbeiten“ (siehe 2.4.2) editiert
werden.
Seite 19
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.6 Alarmfenster
2.6.1 Allgemein
Alle Alarmfenster von Malware Defender haben einen einheitlichen Aufbau, der nur nach der jeweiligen
Schutzkomponente etwas variiert. Hier wird der allgemeine Aufbau eines Alarmfensters erklärt, beispielhaft
wird dann in den folgenden Punkten ein Alarmfenster jeder Schutzkomponente gezeigt (siehe 2.6.2 - 2.6.5).
1. Aktion: Benennt die verdächtige Aktion,
welche das Alarmfenster von Malware De-
fender verursacht hat.
2. Prozess: Der Prozess (mit dem vollständi-
gen Pfad), welcher diese Aktion ausführen
wollte.
3. Beschreibung: Der Name des Prozesses.
4. Herausgeber: Der Herausgeber der Datei.
(Überprüft) Die Signatur der Datei wurde
von Malware Defender geprüft.
(Nicht überprüft) Die Signatur konnte von
Malware Defender nicht geprüft werden
bzw. es ist keine Signatur vorhanden.
5. Ziel: Das Ziel dieser Aktion. Je nach
Schutzkomponente ist dies eine Anwendung,
eine Datei, ein Registrierungsschlüssel
oder eine Netzwerkereignis (siehe 2.6.2 –
2.6.5).
6. Befehlszeile: Befehlszeilenparameter bei
Anwendungen oder andere Informationen
bezogen auf das Ziel (siehe 2.6.4 und 2.6.5).
7. Regel: Die Regel, die dieses Alarmfenster von Mal- auch die Befehlszeilenparameter für die Regel be-
ware Defender ausgelöst hat rücksichtigt.
8. Anwendungsregel für diese Aktion erstellen: Ob 13. Gruppe für die Anwendung wählen: Die Gruppe
für diese Aktion eine Regel für die betreffende An- für den Prozess wählen. Befindet sich die Anwendung
wendung erstellt werden soll oder nicht. bereits in einer Gruppe, dann ist diese voreingestellt.
Wird die Option nicht aktiviert, dann wird die Regel
9. Permanente Regel erstellen: Ob für diese Aktion
keiner Gruppe zugeordnet.
eine dauerhafte Regel erstellt werden soll.
14. Gruppe für die untergeordnete Anwendung
10. Temporäre Regel erstellen, diese wird beim Be-
wählen: Die Gruppe für das Ziel wählen. Die Einstel-
enden des Prozesses gelöscht: Ob für diese Aktion ei-
lungen der Gruppen sind wie im vorigen Punkt be-
ne temporäre Regel erstellt werden soll, die beim Be-
schrieben.
enden des Prozesses automatisch von Malware De-
fender gelöscht wird. 15. Erlauben: Diese Aktion mit den gemachten Ein-
stellungen erlauben.
11. Objekt der Regel: Je nach Schutzkomponente
kann das Objekt der Regel eine Anwendung, eine Da- 16. Verbieten: Diese Aktion mit den gemachten Ein-
tei, ein Registrierungsschlüssel oder eine Netzwerker- stellungen verbieten.
eignis sein (siehe 2.6.2 - 2.6.5).
17. Verbieten und Prozess beenden: Diese Aktion mit
12. Regel inklusive der Befehlszeile erstellen: Bei der den gemachten Einstellungen verbieten und den Pro-
Wahl dieser Option werden bei Anwendungsregeln zess beenden.
Seite 20
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.6.2 Dateischutz
2.6.3 Registrierungsschutz
Seite 21
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.6.4 Netzwerkschutz
2.6.5 Anwendungsschutz
Seite 22
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.7 Protokoll
Im unteren Bereich des Hauptfensters wird das Protokoll angezeigt, es kann auch als Tab des Hauptfensters an-
gezeigt werden (siehe 4.3, Einstellungen – Protokoll). Die Aktionen der vier Schutzkomponenten werden in ver-
schiedenen Farben dargestellt. Das Protokoll zeigt wann (Datum/Uhrzeit) ein Prozess welche Aktion mit wel-
chem Ziel ausführte, ob diese Aktion erlaubt oder verboten (Ergebnis) wurde und wegen welcher Regel dies
geschah. Wert zeigt zusätzliche Informationen, wie z.B. die Befehlszeile bei Anwendungen.
Über das Kontextmenü sind für das Protokoll folgende Funktionen vorhanden:
Zeigt den aktiven Prozess im Fenster „Prozesse“ an (bei inaktiven die Datei).
Zeigt das Ziel im jeweiligen Fenster an, z.B. die Datei im Fenster „Dateien“.
Springt zur entsprechenden Regel im Fenster „Regeln“.
Erstellt eine Erlaubnisregel nach dem angezeigten Protokolleintrag.
Erstellt eine Verbotsregel nach dem angezeigten Protokolleintrag.
Kopiert die Auswahl in die Zwischenablage.
Kopiert die Auswahl im mehrzeiligen Format in die Zwischenablage.
Kopiert den Prozessnamen mit dem vollständigen Pfad in die Zwischenablage.
Kopiert den Zielnamen mit dem vollständigen Pfad in die Zwischenablage.
Löscht alle Einträge des Protokolls.
Alle Protokolleinträge auswählen.
Die aktuelle Auswahl umkehren.
Seite 23
MALWARE DEFENDER HIPS & SYSTEMTOOLS
2.8 Regel-Suche
Über das Hauptmenü „Bearbeiten“ und Regeln
suchen... (siehe 1.4.2) kann man bestimmte oder
alle Regeln nach Begriffen durchsuchen.
Als Beispiel wurde hier im Bild unten nach „fire-
fox.exe“ gesucht. Die Übereinstimmungen wer-
den farblich hervorgehoben. Die Regel, der Regel-
typ, die übergeordnete Regel und deren Typ, die
Zugriffsberechtigung, der Zeitpunkt der Erstellung
der Regel und der Kommentar werden für die Su-
chergebnisse angezeigt.
Über das Kontextmenü sind für die Regelsuche folgende Funktionen vorhanden:
Zur ausgewählten Regel im Fenster „Regeln“ springen.
Die Auswahl in die Zwischenablage kopieren.
Die gewählten Einträge aus der Liste löschen.
Alle Einträge der Liste löschen.
Alle Einträge auswählen.
Die aktuelle Auswahl umkehren.
Seite 24
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3. Systemtools
3.1 Prozesse
Dies ist der Task-Manager von Malware Defender, über den man Informationen zu laufenden Programmen er-
hält. Nicht überprüfte Prozesse werden hier und bei den anderen Tools farblich hervorgehoben angezeigt.
1. Kernel-Modus Threads...:
Öffnet ein Fenster, in dem die Kernel-Modus Threads angezeigt werden. Diese können angehalten, fortgesetzt
und beendet werden.
2. Kernel DPC Timer...:
Öffnet ein Fenster, in dem die Kernel DPC Timer angezeigt werden. Diese Timer können einzeln beendet wer-
den oder es können alle Timer für ein bestimmtes Modul beendet werden.
Seite 26
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3.3 Netzwerkstatus
Der Netzwerkstatus zeigt eine Übersicht über die aktuellen Netzwerkaktivitäten des Computers. Alle Verbin-
dungen werden mit dem Protokoll, der lokalen Adresse und dem lokalen Port, der Remote-Adresse und dem
Remote-Port und dem aktuellen Status der Verbindung angezeigt.
1. Verbindung beenden:
Bei einem entsprechenden Status der Verbindung kann mit dieser Funktion die ausgewählte Verbindung been-
det werden.
2. Remote-Adresse kopieren:
Mit dem Befehl kann die Remote-Adresse, also das Ziel der Verbindung, in die Zwischenablage kopiert werden.
3. Whois-Abfrage...:
Damit wird im Browser eine Whois-Abfrage für die Remote-Adresse der ausgewählten Verbindung angezeigt.
4. Remote-Adressen auflösen:
Bei einer Aktivierung werden neben den numerischen Remote-Adressen auch die aufgelösten Domain Namen
angezeigt.
Seite 27
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3.4 Hooks
Hier werden die Hooks des Systems nach Kategorien aufgelistet. Für jeden Eintrag wird das Modul mit der Mo-
dulbeschreibung und dem Modulherausgeber angezeigt und nach Kategorie der Typ des Hooks, der Name des
Hooks, die Beschreibung usw. angegeben.
Seite 28
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3.5 Autostarts
Hier werden die Programme und Komponenten des Systems in Kategorien angezeigt, die automatisch mit dem
System starten oder von Programmen, wie z.B. dem Internet Explorer, automatisch geladen werden.
Einträge können hier gelöscht werden und Dienste können zusätzlich dazu noch konfiguriert werden.
1. Löschen:
Einen Autostart löschen bzw. den Eintrag aus der Registrierung entfernen.
Malware Defender erstellt eine Liste der gelöschten Autostarts. Mit diesem Autostart-Verlauf (siehe 1.4.3)
kann das Löschen von Einträgen rückgängig gemacht werden und erfolgte Aktionen wiederholt werden.
2. Übernehmen:
Alle neuen Autostarts werden von Malware Defender hervorgehoben (Grün) und sind damit in den Listen ein-
fach zu erkennen. Mit Übernehmen werden ausgewählte Einträge übernommen und nicht mehr markiert.
3. Alles übernehmen:
Damit werden alle neuen Autostarts (Grün) übernommen und nicht mehr farblich hervorgehoben.
4. Dienste:
Bei der Kategorie Dienste stehen neben dem Löschen noch folgende Einstellungen zur Verfügung:
Den Starttyp konfigurieren: Automatisch, Manuell oder Deaktiviert.
Den Dienst Starten, Beenden, Anhalten, Fortsetzen oder Neu starten.
Seite 29
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3.6 Dateien
Dies ist der integrierte Explorer von Malware Defender. Mit ihm ist ein Zugriff auf alle Dateien und Ordner
möglich, also auch auf solche, die im Windows Explorer nicht sichtbar sind oder auf die man aufgrund von Be-
rechtigungen keinen Zugriff hat. Es lassen sich optional unter NTFS auch alternative Datenströme, Metadaten-
dateien und Analysepunkte anzeigen und es können gesperrte Dateien gelöscht werden, die gerade von einem
anderen Programm verwendet werden.
1. Öffnen/Suchen...:
Öffnen (bei Dateien): Öffnet die Datei mit dem verknüpften Standardprogramm.
Suchen... (bei Ordnern): Öffnet ein Fenster zur Suche nach Dateien, Ordnern und alternativen Datenströmen.
2. Mit dem Hex-Betrachter öffnen:
Öffnet die Datei oder den Datenstrom mit dem integrierten Hex-Betrachter.
3. Speichern unter:
Speichert die Datei oder den Datenstrom in einer neuen Datei an einem anderen Ort ab.
4. Löschen:
Löscht den Ordner, die Datei oder den Datenstrom. Achtung: Die Objekte werden nicht in den Papierkorb ver-
schoben, sondern sofort gelöscht.
Seite 30
MALWARE DEFENDER HIPS & SYSTEMTOOLS
3.7 Registrierung
Der integrierte Registrierungseditor bietet ebenfalls vollen Zugriff, also auch auf Schlüssel und Werte, die im
Windows Registrierungseditor z.B. aufgrund von Berechtigungen ausgeblendet sind.
Seite 31
MALWARE DEFENDER HIPS & SYSTEMTOOLS
4. Einstellungen
4.1 Allgemein
Zu 1: Standardmäßig startet Malware
Defender mit Windows. Wenn man
das Programm nur bei Bedarf nutzen
will, kann man hier den Autostart de-
aktivieren.
Zu 2: Mit dieser Einstellung werden
die digitalen Signaturen von Dateien
automatisch überprüft und das Ergeb-
nis bei „Herausgeber“ angezeigt.
Zu 3: Per Voreinstellung wird für den
Treiber ein Zufallsname gewählt. Dies
dient dem Selbstschutz und neue Pro-
grammversionen können ohne Neu-
start installiert werden. Bei Abwahl
wird der Name mdcore.sys verwendet.
4.2 Schutz
Zu 1: Die einzelnen Schutzkomponen-
ten können hier oder über das Menü
im Infobereich (siehe 1.3) aktiviert
oder deaktiviert werden.
Zu 2: Im Normalen Modus werden alle
verdächtigen Aktionen gemeldet.
Zu 3: Im Lernmodus werden für alle
neuen Aktionen ohne Nachfrage Er-
laubnisregeln erstellt.
Zu 4: Im Stillen Modus werden für alle
neuen Aktionen ohne Nachfrage Ver-
botsregeln erstellt.
Zu 5: Bei der Aktivierung werden
Dienststeuerungs-Manager und COM-
Schnittstellen nicht überwacht.
4.3 Protokoll
Zu 1: Mit dieser Option wird das Pro-
tokoll nicht im unteren Teil des Fens-
ters sondern als Tab rechts von „Re-
gistrierung“ angezeigt.
Zu 2: Damit werden zusätzlich alle
neuen Aktionen im Protokoll aufge-
zeichnet, die im Stillen Modus verbo-
ten wurden.
Zu 3: Die voreingestellten Farbcodes
für die Ereignisse der einzelnen
Schutzkomponenten können hier ge-
ändert werden.
Seite 32
MALWARE DEFENDER HIPS & SYSTEMTOOLS
4.4 Regeln
Zu 1: Wenn aktiviert, wird der Start
von Programmen erlaubt, wenn keine
Verbotsregel existiert. Alle anderen
verdächtigen Aktionen der Programme
werden jedoch gemeldet.
Zu 2: Diese Ausführungserlaubnis gilt
ebenfalls nur wenn keine Verbotsregel
für eine Anwendung bereits existiert.
Zu 3: Wenn aktiviert und wenn keine
Verbotsregel existiert, kann einer be-
nutzerdefinierten Liste von Anwen-
dungen der Start erlaubt werden.
Zu 4: Im Vollbildmodus (z.B. bei 3D
Spielen) kann „Fragen“ durch „Erlau-
ben“ oder „Verbieten“ ersetzt werden.
4.5 Prozesse
Zu 1: Wenn aktiviert, werden im
„Handles“ Fenster unbenannte Hand-
les von Prozessen angezeigt.
Zu 2: Wie oft die Anzeige für Prozesse
und Threads aktualisiert werden soll.
Zu 3: Hier kann man die Farbe wählen,
in der Prozesse, Threads und Module
von nicht überprüften Herausgebern
bzw. Herstellern angezeigt werden.
Also von solchen Objekten, die keine
überprüfte digitale Signatur haben.
4.6 Netzwerkstatus
Zu 1: Wenn deaktiviert, werden Ein-
träge ausgeblendet, bei denen aktuell
keine Verbindung hergestellt ist, wie
z.B. beim Zustand „ABHÖREN“.
Zu 2: Wenn deaktiviert, werden die
Namen der Länder nicht bei den Re-
mote-Adressen angezeigt.
Zu 3: Wenn deaktiviert, werden die
Domain-Namen nicht bei den Remote-
Adressen angezeigt.
Zu 4: Wie oft die Anzeige für den
Netzwerkstatus aktualisiert werden
soll.
Seite 33
MALWARE DEFENDER HIPS & SYSTEMTOOLS
4.7 Hooks
Zu 1: Wenn deaktiviert, werden alle
Interrupts bei der „Interruptdeskriptor-
tabelle (IDT)“ angezeigt.
Zu 2: Wenn deaktiviert, werden bei
„Angeschlossene Geräte“ alle ange-
schlossenen Geräte angezeigt.
Zu 3: Wenn deaktiviert, werden bei
„Treiber-Verteilerroutinen“ die Vertei-
lerroutinen von allen Treibern ange-
zeigt.
Zu 4: Wenn deaktiviert, werden bei
„Benutzermodus Code-Hooks“ alle
DLLs beim Scan geprüft.
4.8 Autostarts
Zu 1: Wenn aktiviert, werden auch Be-
reiche der Liste angezeigt, die keinen
Eintrag enthalten.
Zu 2: Wenn aktiviert, werden die Ein-
träge von signierten Microsoft Datei-
en ausgeblendet.
Zu 3: Wenn deaktiviert, wird nach dem
Löschen von Einträgen nicht zum er-
neuten Scannen aufgefordert.
Dies gilt dann auch für das Rückgän-
gig machen oder Wiederherstellen
über den „Autostart-Verlauf“, danach
wird dann ebenfalls nicht zum erneu-
ten Scannen aufgefordert.
4.8 Dateien
Zu 1: Wenn aktiviert, werden die an
eine Datei gebundenen (aber normal
nicht sichtbaren) alternativen Daten-
ströme angezeigt.
Zu 2: Wenn aktiviert, werden die Me-
tadatendateien (z.B. „$AttrDef“, siehe
3.6) angezeigt, die von der Windows-
API normal ebenfalls ausgeblendet
werden.
Zu 3: Wenn aktiviert, werden Analyse-
punkte angezeigt, mit denen Dateisys-
temeinträge mit Funktionen verknüpft
werden.
Seite 34
MALWARE DEFENDER HIPS & SYSTEMTOOLS
4.8 Registrierung
Zu 1: Wenn deaktiviert, werden die
Schlüssel nur im linken Fenster ange-
zeigt, so wie das auch beim Registrie-
rungseditor von Windows der Fall ist.
Zu 2: Die Farbe wählen, in der Symbo-
lische Verknüpfungen (REG_LINK)
dargestellt werden, die analog zu den
Dateiverknüpfungen auf ein anderes
Objekt verweisen.
4.9 Schriftart
Zu 1: Ein Fenster öffnen, um die
Schriftart und Schriftgröße der Benut-
zeroberfläche zu ändern.
Zu 2: Die Einstellungen der Schrift für
die Benutzeroberfläche auf die Stan-
dardwerte zurücksetzen.
4.10 Bestätigungen
Hier kann man die Dialogfenster zur
Bestätigung der angezeigten Aktionen
deaktivieren, falls diese nicht er-
wünscht sind.
Seite 35
MALWARE DEFENDER HIPS & SYSTEMTOOLS
4.11 Tastaturbefehle
Zu 1: Mit dieser Option kann man alle
Tastaturbefehle deaktivieren.
Zu 2: Damit kann man alle Tastaturbe-
fehle löschen, wenn man alle oder nur
einige neu definieren will.
Zu 3: Mit dieser Option werden alle
Tastaturbefehle auf ihre Voreinstel-
lung zurückgesetzt.
4.12 IP Datenbank
Zu 1: Mit der Schaltfläche kann man
einen Speicherort für die Datei mit der
„IP-Länder Datenbank“ bestimmen.
Diese Liste wird verwendet, um neben
den Remote-Adressen im Fenster
„Netzwerkstatus“ und beim Alarm-
fenster des Netzwerkschutzes das
Herkunftsland der IP-Adresse anzuzei-
gen.
Zu 2: Damit kann man ein manuelles
Update der „IP-Länder Datenbank“
ausführen.
4.13 Schutzstatus
Das Malware Defender Symbol im Infobereich der Taskleiste zeigt den Status des eingestellten Schutzmodus
und ob alle Schutzkomponenten aktiviert sind oder nicht.
Alle Schutzkomponenten sind deaktiviert.
Der „Normale Modus“ ist aktiviert und alle Schutzkomponenten sind aktiviert.
Der „Normale Modus“ ist aktiviert, aber nicht alle Schutzkomponenten sind aktiviert.
Der „Lernmodus“ ist aktiviert und alle Schutzkomponenten sind aktiviert.
Der „Lernmodus“ ist aktiviert, aber nicht alle Schutzkomponenten sind aktiviert.
„Stiller Modus“ oder „Benutzeroberfläche gesperrt“ und alle Schutzkomponenten sind aktiviert.
„Stiller Modus“ oder „Benutzeroberfläche gesperrt“, aber nicht alle Schutzkomponenten sind aktiviert.
© subset
Seite 36