如何保护毛豆不被卸载？

xliu_bj

chinaallenchen 发表于 2013-4-5 09:06
点开D+,计算机安全规则,D+规则,打开explorer.exe,使用自定义规则,自定义受保护的文件/目录为阻止

这样设置之后，受保护的文件还能不能运行了？比如我把毛豆文件夹放进阻止，是否不能卸载也不能运行了？

笨死的火星猪

chinaallenchen 发表于 2013-4-5 09:06
点开D+,计算机安全规则,D+规则,打开explorer.exe,使用自定义规则,自定义受保护的文件/目录为阻止

这个是防直接删除文件
卸载问题上，对msiexec.exe禁止提权是肯定可以防了，但这样一来所有程序都不能正常安装删除，就不仅仅是保护毛豆了～～
若想仅对毛豆进行防卸载保护，这个怎么做？

羽扇纶巾

一，为C:\WINDOWS\system32\msiexec.exe建一条预定义规则，取名《防卸载》。

二，规则制作参照系统程序。

三，唯独运行一个可执行程序这一条，阻止C:\Program Files\COMODO\COMODO Internet Security\*.exe

四，导入C:\WINDOWS\system32\msiexec.exe，置顶。

笨死的火星猪

羽扇纶巾 发表于 2013-4-7 01:40
一，为C:\WINDOWS\system32\msiexec.exe建一条预定义规则，取名《防卸载》。

二，规则制作参照系统程序 ...

msiexec.exe和appwiz.cpl都单独设立程序规则，置顶，不光阻止了你提到的禁止运行毛豆目录下一切exe，还阻止了对毛豆进程发送消息，阻止了修改毛豆注册表键位、目录文件、驱动文件，连cmdaruns.AutorunEnumerator，cmdaruns.AutorunEnumerator.1，CIS.CisRmControl，CIS.CisAgent这些com接口都阻止，只要允许提权，照样可以卸载～～
卸载是似乎与{D6AB1F5B-FED6-49A9-9747-327BD28FB3C7}这个参数有关？也没有运行什么毛豆自带的卸载程序啊～～V5.10

另外补充一下：
我这里测试方式——D+里对文件、注册表、com接口全部添加*做全局保护，程序规则里将msiexec.exe从默认的“安装或者更新”组里移除，单独对它设立全询问规则并置顶。然后分别测试从开始的程序里正常卸载、以及从控制面板的添加或删除程序里卸载毛豆。结果都是只有禁止msiexec.exe（从控制面板卸载时拦截appwiz.cpl也有效）提权才能拦截卸载～～
请问测试方式有问题么？

羽扇纶巾

楼上说的好。

C:\Program Files\COMODO\COMODO Internet Security\*.exe 这一条太宽泛，因为，我刚才也确实也没注意、卸载程序的具体路径，来了个大包围，仅仅是提供思路。汗!

但是，这个思路是不合适的。

我自己用的规则，隔离了temp下所有受保护的可执行文件，平时安装不了，也卸载不了任何软件。

我一直单奔纯墙，没办法，误伤难免。

呵呵，多谢指正！