重大发现：金山更新驱动，拦截所有360字样进程！（附样本）

cnkan

     又一场腥风血雨啊！

    大概是晚上6、7点钟吧，本来想备份点东西，发现360云盘打不开。刚开始以为是软件bug，也没当回事，就想上网页版。没想到连360浏览器也阵亡了，双击快捷方式没有反应。直觉告诉我，一定是粗大事了。

     赶紧打开主防日志查，发现金山毒霸下午自动装了一个驱动，看起来用的是随机文件名（我这里是ts2z9pfwwe.sys），明显有猫腻。

把这个驱动拎出来，简单分析了下，结果惊呆了。。

     它基本就干一件事：向系统注册进程创建回调（Process Create Notification），判断正在启动的进程名称是否包含“360”。如果包含360，直接结束进程；如果不包含，那什么事也不做。

    也就是说，如果你电脑金山毒霸已经更新了这个驱动，所有带360字样的程序都无法打开了，而且还没提示。死都不知道是怎么死的。

    更搞笑的是，把猎豹浏览器主程序改名成360se.exe，一样打不开。。

    附样本测试地址：http://yunpan.cn/Qpen7UxQSpjdG （包含1. kingsoft.reg，2.驱动加载工具instdrv，3.金山驱动。再想想，病毒也可以随便加载这个驱动，带金山签名哦，细思恐极～）

   步骤： 导入kingsoft.reg， 打开驱动加载工具instdrv， 把金山的这个驱动拖拽到instdrv的界面上，点击“安装”后， 点击“启动”，好了，这个时候再运行任何带有360名字的程序都运行不了了。可以试试看把liebao.exe改为360liebao.exe，也运行不了。好玩了～

关键代码：

在进程创建回调中，判断进程名是否包含360。如果包含就结束进程。

飞扬丶

支持技术讨论

vdmcontrol

毒霸终于名副其实了。

daojianwuhen

人家早包养你了，动手动脚很正常

wakezhou

山山就不能专心搞搞技术吗 非要玩这些小手段，，，，

22667999

技术分析出来了~

tuw

这明文代码是能逆出来的？

xiaomoon

这个好凶残。

22667999

tuw 发表于 2014-2-13 01:48
这明文代码是能逆出来的？

借用mj的原话：放在本地的东西 几乎没有不可逆的

血色

两个都不是好货，都暗地利用优化和清理破坏对方启动项