文章作者：xxfish
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）  

相信很多木马作者写的木马都不过360安全卫士监控,如目前的pcshare等,,不列举。我的朋友之前采取的是K进程，我也一样。但是目前不行了。我之前在黑防发过一篇逆向工程打造过360安全卫士，但是发现计算机重新启动后,360还是会有提示。
  这样我们的木马还是过不了360，于是我开始从360的目录里下手，看是否可以找到相应的可利用的地方，找了下，有几个地方也可以利用..不过想法很天真。 于是我找找注册表。我发现他有一个safemon很明显从字面意思就可以断定，和安全相关。进去后发现有4个键值，我猜测到，这肯定就是那4个监控所对应的键值。 ExecAccess ，MonAccess，SiteAccess，UDiskAccess 4个键值。字面意思我就猜测到我之前的想法肯定是对的 都是16进制00000001，那么0肯定就是关闭。修改后。果然 嘿嘿。 360的监控就over了。。 其实人的思路有很多..不管是360还是各种杀软我想肯定都有突破的地方。。重在你是否去研究了....


ps: 发挥的空间很大。比如说先修改为0，360监控就关闭了。然后你就可以写注册表项或者服务启动，写完后在修改回来。360无任何提示... 或者你直接K掉360进程，然后在修改为0，在修改回来。（但是有点多此一举了)。。发挥的空间很大。。 自己慢慢发挥吧。。


思路很简单，但是这里只考虑了360安全卫士，杀毒软件的注册表监控没有考虑在内， 大家可以去参照下xyzreg大哥的 突破突破主动防御之注册表监控篇文章，非常不错值得大家仔细观看。 然后再内外结合起来，就OK了。。  


引用段xyzreg大哥的话 本程序仅作科普以及安全警示之用，旨在提高大家安全意识以及选择更好的安全产品。勿将程序中的方法用于非法用途。

产生任何板砖效应概不负责，希望可以帮助到很多朋友。简单发个演示程序..

ttt.jpg (13 KB)

2008-1-22 19:27

引用:

引用第1楼雷锋精神于2008-01-22 19:35发表的 :
360用个批就搞定了，哈哈！沙发！

恩...自己批处理写个修改注册表就OK了。。 然后和木马捆绑。不过这样体积会增大，并且隐蔽性不佳,其实逆向工程来增加下修改注册表的代码也用不了多少时间。。 自己发挥吧。。。    学习去...

但是这个测试程序没反应哦。。楼主

自己看你的360监控是否关闭。。 我没加任何消息框,所以没任何提示...

一般直接kiil掉360就足以.
重启的时间,病毒木马可以做很多事情,特别在RING0下...
之后就不用在乎360这种提示性的监控了.

呵呵.不过这是一种思路呀~
赞一个

引用:

引用第7楼sudami于2008-01-22 20:54发表的 :
一般直接kiil掉360就足以.
重启的时间,病毒木马可以做很多事情,特别在RING0下...
之后就不用在乎360这种提示性的监控了.

呵呵.不过这是一种思路呀~
.......

偶等菜鸟目前没到内核编程的地步。努力学习之...  还是ring 3下实现的功能稳定呀。一个思路而已。。

通过更改键值来使我们随意控制杀毒软件，是个思路。

不过卡巴是不会轻易就能过得……

引用:

引用第14楼a1pass于2008-01-25 21:51发表的 :
通过更改键值来使我们随意控制杀毒软件，是个思路。

牛...
要是改个注册表就能随意控制,那就太和谐了.

引用:

引用第15楼sudami于2008-01-25 21:56发表的 :



牛...
要是改个注册表就能随意控制,那就太和谐了.

这么和谐的事情往往出于口误，现实生活中不会发生，望楼上勿惊～～～

汇编下：
push 0
push 00408888
call WinExec
jmp 入口

在00408888写taskkill /f /im 360tray.exe

改入口到push 0地址

ring几啥意思啊，纯内核。。。不过这点360确实没有做好啊，至于逆向工程还太遥远饿。。。。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"ExecAccess"=dword:00000000
"SiteAccess"=dword:00000000
"MonAccess"=dword:00000000
"LeakAccess"=dword:00000000
"UDiskAccess"=dword:00000000
"lastup"=hex:d8,07,00,00,02,00,00,00,0e,00,00,00,00,00,00,00,37,00,00,00,01,00,\
  00,00
"ARPAccess"=dword:00000000
全改成0,360卫士直接自动退出了.不用终止进程.呵呵.楼主的这个发现真不错.

在小熊上比较早就有人发了类似的方法了 楼主可以去找找看

把控制放在注册表好象太不安全了吧

思路不错，谢谢楼主分享。
不过想问一下楼主为什么用你的那个测试程序360MON关了并且进程自动退出了，但是直接导注册表360确没有退出？ 楼主在程序里直接把进程给KiLL了？

呵呵，大家的鬼电子还真不少啊，不过早就知道360可以直接kill掉，一直就没在乎过它。

有时间多研究研究微点和卡巴，这两个东西比较牛X。

360几个关键项，以关闭。未曾提示，它应该改进一下。定期监测实时监控是否被恶意关闭，并提示用户。

哎,我当初也考虑过360是不是把它的监控功能放到那里作为参数了.不过我把注意力放到它的安装目力里了,当时忘记去看注册表了,因为我以为360肯定是用什么加密规则来弄的，没想到在注册表里这么明显.现在问题出来了,不知道官方会不会补了它

[ 本帖最后由 sweet 于 2008-3-4 15:09 编辑 ]

MSN启动后，safe360会提示注册表表项写入，按照楼主的方法，把注册表修改后，仍旧提示，无效

直接杀进程太直接了,摆明告诉肉鸡:"我来了"...
360的进程没有做到任何自我保护防范.NtSuspendProcess函数可以把它给睡眠就可以了.

恢复ssdt可以过卡巴，但是没有试过其它的

直接杀进程太直接了,摆明告诉肉鸡:"我来了"... 有更好的办法吗?

这篇我是用手机看得没有机会上机测试~想问一下文中的那四个键值如果不是全修改是个什么情况~

确实很简单.测试360最新版已经过了

这个是不错的思路  最新4。18亦可以通过