新手教程 拦截系统关机重启的毛豆详细配置

loms126

通过拦截特权COM接口，LocalSecurityAuthority.Shutdown和LocalSecurityAuthority.Restart，实现拦截系统关机，通过日志可用来反查进行关机操作的恶意软件。
在毛豆的默认配置上修改的”所有应用程序“的禁止规则。第12步的置顶操作对自定义过的配置可能有误伤，请谨慎操作。高手请直接看第10步即可，无视其他操作。第一次写教程，欢迎大家指教。

1.打开COMODO主界面，点击“任务”。

2.点击“高级任务” -> “打开高级设置”。

3.（这一步用来保存当前配置以便最后一步恢复，思路清晰的同学可以跳过至第6步，之后手动恢复。）点击“配置”，选择当前的活动配置，打开下方工具栏，选择“导出”，如弹出如图对话框，选择“是”，选择一个目录，保存当前程序配置。也可以直接右击活动配置进行导出。

4.点“导入”，选择刚刚保存的配置，在文本框中改个名字，“确定”。（disable拼写错了 ，惭愧）

5.右击刚导入的配置，点“活动”，激活配置。

6.展开到“安全设置”->“Defense+”->“HIPS”->"HIPS设置"，确认已启用HIPS.

7.切换到“HIPS规则”，右击“所有应用程序”，选择“配置”。

8.弹出的对话框中选“使用自定义规则”，点击COM接口后的“修改”。

9.选择“阻止的COM接口”，空白处右击，添加”COM组件“。

10.添加新项目 ， LocalSecurityAuthority.Shutdown  ，点右侧的加号，此时 shutdown接口出现在右侧列表框内，“确定”。

11.重复上一步，添加接口 LocalSecurityAuthority.Restart，之后点“确定”。

12.选中”所有应用程序“，利用右键菜单或工具栏中的上移命令，将其放在第一个，否前之前的允许规则可能导致无法拦截。点”确定“，关闭高级设置。

13.点”常规任务“，”查看日志“。

14.打开下拉列表，选”Defense+“事件。

15.等待关机时间发生，刷新视图。如图，事件A、B分别是对调用开始菜单中的关机、重启的拦截，C是对cmd中调用shutdown的拦截，D是对拦截自己写的关机exe的拦截。通过进程名可以找出背地里关机的黑手。

16.最后请将配置还原，右击原来使用的配置，选择”活动“。否则无法正常关机。

pupeng

学习模式

谢谢

蛮牛雷文顿

学习下，楼主辛苦了。

a256886572008

把 sandbox level 改成 fully virtualized，也可以攔截關機。

這個 level 的規則 和 HIPS 獨立。

loms126

a256886572008 发表于 2013-3-4 15:14
把 sandbox level 改成 fully virtualized，也可以攔截關機。

這個 level 的規則 和 HIPS 獨立。

謝謝提醒！我平時都很少開沙箱，都沒有充分利用毛豆的功能。
我測試了下，COMODO的四個sandbox級別都可以攔截我用ahk寫的關機程序。測試環境：Win XP SP3, vb虛擬機，COMODO V6，AHK 命令shutdown,1 和run, shutdown -r -f -t 0

粉色回忆

没看明白，是自己可以正常关机，禁止软件调用系统关机吗

loms126

粉色回忆 发表于 2013-3-4 16:38
没看明白，是自己可以正常关机，禁止软件调用系统关机吗

是拦截“全部”关机动作，如果要允许自己关机需要给explorer加例外。文中的“所有应用程序”规则放的靠前，正常使用的话，在“受保护的COM接口”\“特权COM”中添加就可以了，非白、非系统文件会弹窗询问的。

写这个的起因是答疑区的一个问题，http://bbs.kafan.cn/thread-1476943-1-1.html， 想用来找关机的进程。