窗口或者事件钩子与窗口消息以及受保护的com接口都是指什么？

导演AZ

窗口或者事件钩子与窗口消息有什么区别？（表示不是很理解）  com接口有是什么？？

前段时间，看了 学院的一篇资料，，但是对这三个貌似还是不是很理解，，com接口好像没怎么讲就略过了

求大神讲解，，，不甚感激

詩、未詺

运行一个可执行程序——谁都看得懂，无需废话解释，就是运行一个程序。实际上它包含了启动一个进程和创建一个进程。当你在日志中看到某应用程序创建某进程被拦截，指的就是这东东——A程序运行B程序被阻止。

进程间内存访问——包括了读取内存和修改内存两部分。极端危险的事件。Windows操作系统为每一个应用程序分配了一个4GB的虚拟内存空间，用来存放代码和数据。如果A程序修改了B程序的内存，就可能在其代码中添加恶意指令来控制该程序【术语上应该讲进程，为了通俗易懂，就说习惯上的程序吧】。鉴于毛豆的读写不分，谨慎允许该项吧。注意，访问权限里的内存访问，说的是允不允许它去访问别的进程内存；保护设置里的内存访问，说的是允不允许别的进程来访问它的内存。

窗口事件或者事件钩子——习惯上的说法是安装全局钩子，帮助文档里的说法是执行钩子。钩子的作用就是截取（指令、信息、数据），后果就是窃密、盗号，劫持等。钩子通常是dll文件。杀毒软件和Comodo等也是通过下钩子的方式来监控的。注意，访问权限里的钩子，说的是允不允许它执行钩子。至于是执行哪些钩子，当然是应该加以限制的。通常允许执行system32下的系统dll钩子是安全的。保护设置里的钩子，可以理解成允不允许别的程序把那个钩子伸到它的身上钩住它；对于杀软、HIPS等安防软件来说，可以理解成允不允许在它们的钩子之上加装别的钩子，如果允许，那么新装的钩子将先于杀软和HIPS的钩子截取信息。

进程终止——通俗讲，就是允不允许它结束别的正在运行中的程序。专职运行结束进程的，有csrss.exe，任务管理器，comodo、冰点安防软件的杀进程工具。一般程序没必要结束别的进程。专业解释可以参看相关资料。一般情况下，一个程序结束它自己创建的进程是正常的。结束进程与挂起进程的差别是，挂起进程只是暂停，结束进程是停止并退出。注意：访问权限里的进程终止，说的是允不允许它结束别的进程；保护设置里面的进程终止，说的是允不允许别的程序来结束它的进程。

设备驱动程序安装——安装驱动，极端危险的事件之一。驱动程序是运行在内核态的，ring0级，一般的运行在ring3级的程序是管不到它的。除非安装新的硬件或者杀毒软件之类的安防软件，其它的禁止吧。

窗口消息钩子——正确的翻译应该是窗口消息。一般来说没有什么危害。恶意的消息洪水会导致程序的进程崩溃，玩测试工具时可以禁止该项操作。注意，访问权限里的设置，说的是允不允许它向别的进程发送窗口消息；保护设置里面的设置，说的是允不允许别的进程给它发送窗口消息。

受保护的COM接口——程序可以通过COM接口使用相关组件，可以关闭系统、修改系统时间、调试提权、后台调用IE等进程偷偷上传、下载……

受保护的注册表键——这个不需要解释了，危险事件。允许该项操作，程序可以任意访问注册表，修改设定保护的注册表内容将不再过问。阻止该项操作，程序不可以修改受保护的注册表内容。

受保护的文件目录——重要目录、路径，指定的exe等文件的保护。危险事件。如果允许该项操作，FD操作的创建、修改、删除活动将不受限制。严重情况下可以彻底搞坏系统。

域名解析客户端服务——允不允许该程序使用域名解析功能。允许，则该程序执行域名解析的活动不受阻止。

内存——访问物理内存。关于该项的危害，帮助文档里说“恶意程序尝试访问物理内存运行各种漏洞——最有名的是“缓冲区溢出”漏洞。一个接口允许在特定的内存地址中存放一定量的数据，但如果恶意程序提供大量的数据到该地址就会导致缓冲区溢出。大量的数据会覆盖内存中的内部数据结构并导致系统被迫执行恶意程序的代码。”根据这些说明，主要是防止恶意程序的。一般情况下，能够限制的程序尽量限制吧，对于不明程序一定要严格限制，安全可信和必要的程序可以允许【例如系统进程，安防软件，内存整理工具等】。

屏幕监视器——访问屏幕，获取屏幕信息。截图软件，游戏等会使用此功能。一些窃密软件也会使用该功能。没必要的就不要允许吧。

磁盘——磁盘底层访问。允不允许绕过系统直接进行磁盘的底层读写？除了wmiprvse.exe和磁盘清理、碎片整理工具外，其它的阻止吧。按照帮助文档里的说法，阻止该项可以防止获取磁盘上存储的数据、删除硬盘上的文件、格式化驱动器或者用写垃圾数据的方法来损坏文件系统。

键盘——键盘记录，获取你输入的内容。盗号木马最喜欢的事情，出于防盗考虑，不明程序、没必要的程序都禁止吧。记事本，文字处理文件，绘图工具，游戏等需要输入文字信息的软件，需要允许，浏览器登录某些站点输入帐号密码等可能也需要允许

以上内容均来自卡饭，建议LZ自己搜搜
http://edu.kafan.cn/html/Comodo/11302.html
连接扔到这里

导演AZ

詩、未詺 发表于 2012-6-7 23:20
以上内容均来自卡饭，建议LZ自己搜搜
http://edu.kafan.cn/html/Comodo/11302.html
连接扔到这里

窗口消息，com接口还是有些不懂

风爱朴2

导演AZ 发表于 2012-6-7 23:36
窗口消息，com接口还是有些不懂

这种东西感觉只有一个途径：看教程、自己练习。
论坛相关教程真的很多，还需要联系实际的：
比如对于窗口消息，有的程序可能一运行就弹出浏览器，就可能是向IE发送消息实现的，你就可以通过禁止向IE发送消息来禁止调用IE。（当然，一般恶意软件调用IE不会这么简单）
又比如com接口，有名的秒杀端口：*\Windows\ApiPort ，把它加入受保护端口后，就可以起到防毒作用，因为任何程序要运行都必须允许它。
等等还有许多，又比如防浏览器被调用的com之类，这些论坛都有很多的教程的，要么就用智能的毛豆，要么就用心去看教程。其实自己模仿论坛规则，自己制定一两个程序的规则，就基本了解了。

詩、未詺

导演AZ 发表于 2012-6-7 23:36
窗口消息，com接口还是有些不懂

论坛教程很多啊
善用搜索==

accordion

导演AZ 发表于 2012-6-7 23:36
窗口消息，com接口还是有些不懂

1.首先comodo的com接口包括三类：
第一类com接口就是class里面的一个个组件，说白了也就是一个CLSID，这个可以调用的dll，也可以用来调用ocx什么的，有一部分是公用的，最典型的{871C5380-42A0-1069-A2EA-08002B30309D}，是IE的一个组件，但很多程序也要调用它，这样的意义是程序不用自己都创建一个dll，给他一个CLSID的原因是方便寻找（而且一个组件可能有很多个功能）

第二类是特权|权限，标志LocalSecurityAuthority. 特权是一个帐户的权利，即本地账户有什么权限， 权限是针对资源而言的。也就是说，设置权限只能是以资源为对象，特权什么的可以执行关机Shutdown，调试Debug什么的，权限可以修改程序优先级IncreaseBasePriority等

第三类是RPC接口，\RPC Control\,这个我无法解释，我不知道他作用有什么，只知道是一种通讯机制....

2.窗口消息其实是windows message，也就是窗口消息，是程序与程序之间的通讯，比如说“打开窗口”，“关闭窗口”等等

导演AZ

风爱朴2 发表于 2012-6-8 00:47
这种东西感觉只有一个途径：看教程、自己练习。
论坛相关教程真的很多，还需要联系实际的：
比如对于 ...

那些程序弹出来的选择YES or NO 不是窗口消息？？？我还以为那个弹窗就是窗口消息 = =

mb147258

又学习了

导演AZ

风爱朴2 发表于 2012-6-8 00:47
这种东西感觉只有一个途径：看教程、自己练习。
论坛相关教程真的很多，还需要联系实际的：
比如对于 ...

窗口消息的向IE发送消息是打开网页还是什么？？？

我试着禁止掉tuneup的窗口消息。。但是每次检测更新完。。。都会弹出tuneup的官网（弹出浏览器是opera 默认就是这个。）这怎么回事

brilight

导演AZ 发表于 2012-6-8 12:23
那些程序弹出来的选择YES or NO 不是窗口消息？？？我还以为那个弹窗就是窗口消息 = =

舉個最簡單的窗口消息

每個程序右上角的關閉按鈕, 你點擊它, 它就會給所在的窗口發消息, 消息內容為WM_CLOSE, 意思是要關閉了, 然後程序處理關閉前的操作, 比如提示你是否保存文檔? 或者不提示直接關閉

如果有惡意程序向另外一個程序發消息, 可以做到故意發送WM_CLOSE,  惡意關閉其他程序


其他類型的消息還有很多, 例如 最小化, 最大化的消息 SC_MINIMIZE, SC_MAXIMIZE