cognis-digital/comwatch

# comwatch **COM 劫持与持久化检测器 (C# / .NET)** — 发现攻击者明目张胆隐藏的注册表攻击技术。 [](https://github.com/cognis-digital/comwatch/actions/workflows/ci.yml)   **[Cognis Neural Suite](https://github.com/cognis-digital)** 的一部分。`comwatch` 解析 Windows 注册表导出文件 (`reg export ...`) — **无需实时访问注册表**，因此它可以在应急响应镜像、导出的 hive 以及 CI 上运行 — 并标记持久化/劫持攻击技术： | 发现项 | 重要性说明 | ATT&CK | |---|---|---| | **COM 劫持** | 位于 **HKCU** 的 CLSID `InprocServer32`/`LocalServer32` handler 会静默覆盖系统 (HKLM) 的 COM 对象 | [T1546.015](https://attack.mitre.org/techniques/T1546/015/) | | **用户可写的 handler** | COM handler 的 DLL/EXE 路径解析到了 AppData/Temp/Public/ProgramData | T1546.015 | | **LOLBin handler** | handler 调用了 rundll32/regsvr32/mshta/powershell/wscript… | [T1218](https://attack.mitre.org/techniques/T1218/) | | **自启动** | `...\CurrentVersion\Run` / `RunOnce` 持久化键值 | [T1547.001](https://attack.mitre.org/techniques/T1547/001/) | 它会输出结构化的 JSON，**或者针对其发现的被劫持的 CLSID 生成可直接部署的 Sigma 规则**。仅用于防御性应急分析。 ## 构建 / 运行 ``` dotnet build -c Release dotnet run -- --selftest # demo on a bundled sample export comwatch export.reg # analyze a real export comwatch export.reg --format sigma # emit a Sigma detection rule reg export HKCU\Software\Classes\CLSID hkcu_clsid.reg && comwatch hkcu_clsid.reg ``` ## 输出 包含 `findings[]` 数组的 JSON（包含 severity / id / MITRE technique / hive / clsid / handler）。如果存在任何 HIGH 级别的发现项，退出码为 **2**，否则为 **0** — 可据此拦截 CI / IR pipeline。 ## 许可证 COCL 1.0 — 请参阅 [LICENSE](LICENSE)。商业用途 → licensing@cognis.digital

标签：多人体追踪