近日无事研究怎么干掉360杀毒,呵呵,真的纯粹是为了兴趣
普通的任务管理器里,无法干掉360杀毒的进程,OpenProcess()操作提示 “拒绝访问”,看来肯定是用驱动做了保护程序。
于是找出以前写的一个驱动,改造了一下(一个多星期。。。。。),终于能把360杀毒的两个进程干掉了
不过过了一会360杀毒的主服务程序竟然自己起来了,看来它肯定还远程hook了一个进程来实现对自己的监视,发现被杀就会再启动服务。
找了一下,发现应该是hook的services.exe来作为宿主进程。 这个进程也没法随便干掉啊。。。。
目前看来除了在ring 0 级 hook CreateProcess 这些函数外 ,就是开一个自己的监视线程,发现360杀毒开启了就再干掉。。。