Shutdown.exe - Altere o caminho no registro

Concordo com o comentário de Doug Deden de que isso soa como um problema XY e alterar algumas permissões de acesso é provavelmente uma maneira melhor. Como isso ainda pode ter algum valor independentemente, aqui está uma alternativa possível.

O caminho para shutdown.exenão está definido no registro, mas em sua PATHvariável. shutdown.exeestá localizado em C:\Windows\System32, que está listado em sua PATHvariável. Para descobrir isso por si mesmo, você pode executar where shutdown.

Uma opção é nomear seu programa shutdown.exeou shutdown.batem qualquer local de sua preferência e, em seguida, adicionar esse local à frente da PATHvariável.

Quando você executar where shutdown, verá algo como:

C:\my\path\shutdown.exe
C:\Windows\System32\shutdown.exe

Essa lista está em ordem de prioridade, portanto, o Windows executará o primeiro item da lista, a menos que especificado de outra forma. Isso funcionaria para impedir qualquer um que simplesmente corresse shutdown -s -t 0, mas não qualquer um que corresse C:\Windows\system32\shutdown -s -t 0.

Leitura adicional

• Onde - SS64.com
• Desligamento - SS64.com

Para responder à pergunta que você fez (spoiler - não resolverá seu problema)...

abra um prompt de comando e digite:

 echo %PATH%

Essa lista de diretórios é onde o Windows procura por arquivos executáveis ​​(após o diretório atual), trabalhando da esquerda para a direita até encontrar uma correspondência .exeou falhar. Se você inserir uma pasta na variável PATH de seus usuários antes, c:\windows\system32;por exemplo , c:\myscripts;c:\windows\system32;a sua c:\myscripts\shutdown.exeserá encontrada primeiro.

Pode ser necessário atualizar o sistema e as variáveis ​​PATH de cada usuário para garantir que seu shutdown.exe seja encontrado, mas isso pode ser facilmente derrotado. Existem vários métodos para desligar um computador via script ou código compilado ou até mesmo rundll32.exe. Além disso, isso não impedirá caminhos absolutos ou relativos para o arquivo real. Shutdown.exeé apenas uma conveniência, não é essencial para o desligamento do Windows. Dito isso, eu não tentaria adulterar o arquivo em si, embora você possa fazer com que sua versão "grude", é apenas uma questão de tempo até que o Windows o substitua pelo original.

Pessoalmente, eu consideraria seriamente a política de grupo ou local (dependendo da sua rede) para apenas revogar as permissões de desligamento para os usuários problemáticos. Não importa se um usuário executa o exe, se ele não tiver permissão para desligar a máquina, a operação falhará.

Se você não pode bloquear os sistemas por qualquer motivo, suas opções são bastante limitadas.

Talvez, em vez de escrever uma substituição de desligamento, execute um script em uma programação (ou escreva um serviço, etc.) em seu servidor de arquivos que verifique se há arquivos suspeitos como arquivos .lnk ou .bat e os exclua (ou melhor ainda, tome posse e revogue acesso ao arquivo para que você possa inspecionar/registrar quem o criou/qual computador, etc.) e executar qualquer ação.

Você pode levar isso ainda mais longe com algum código usando um observador do sistema de arquivos na pasta compartilhada (do próprio servidor de arquivos!), Seu aplicativo será notificado de cada novo nome de arquivo criado praticamente em tempo real e você poderá executar qualquer ação. (como desligar o computador do invasor :)