360 Anti-Virus 弱爆 Process Explorer 注册注册表键值

Wesly.Zhang

今天的上海，阳光明媚，气温事宜。办公室心情特别好，胡来一通电话，公司妹子求帮助，求解决。解决什么呢？一个软件崩溃crash的issue。按照管理，提个dump看看，发现句柄上面的问题，然后就想到了 微软御用的 Process Manager （Process Explorer），毫不犹豫的果断上TechIT download it and 解压 to system32 文件夹 to run，由于平时习惯，直接选择 替换 默认系统任务管理器，尼玛，被拒。亲，哥还是第一次遭拒绝，好吧，傲娇、小资妹子的本子就是不一样，来，看看注册表权限有米有问题，追溯到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 这个键值，权限正常，平时调试啥程序，做 Applicaion Verification 啥的需要 ntsd ，懂的人懂的。后来在时钟旁边发现一个绿盾，尼玛啊，数字Anti-Virus。妹子啊，你在暗地里违规安装这神马东西啊，回头域服务器加登录权限禁止数字有数字进程的机子连上域。嗯，（喂，跑题了）。好吧，数字是吧，来调教下，关闭主防、关闭各类 guard ，disable self-defense and exit it。这回总可以了吧，来写入注册表，坑爹的又被拒绝了。好吧，数字驱动是吧，来用点手段把它清理出磁盘吧。刷的一下over后，给力的导入注册表 successful。然后果断的执行 uninstaller 。然后洗脑下妹子。

以上娱乐完后，说点正经的。Process Explorer 执行替换系统任务管理器使用

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger=C:\Path\To\Procexp.exe]

这种方法来滴，你数字把微软的东西都给墙了。那神马程序还能够添加到 Image File Execution Options 键值下呢？虽然恶意程序会利用这个地方来玩玩，但是一个受信任的程序修改这个地方你不让改就不对了吧？即便在退出所有保护组件的情况下，驱动文件仍然在保护这个地方。

来，最后说说环境：Windows XP SP3 x86 数字杀毒：3.0.1.2113。鬼知道这个东西是怎么安装上的，管理不利，面壁去了~~

黑骑士

不大看得懂，看看后排有没有人解释

笙儿

您好，您问的是杀毒为何保护IFEO吧？
首先要明了IFEO是做什么的，详情可参阅33期卡饭月刊里《反客为主，病毒我也能劫持》一文。IFEO也即是windows系统当中用语程序调试的关键键值，目的是在调试程序的时候可以在关键位置挂起程序的运行，这个称作映像劫持技术，现下很多病毒木马使用映像劫持技术将安防软件（含杀毒软件和安防辅助软件）劫持掉的话，（可参阅上文中引用的《蔚为壮观的劫持名单》）您的电脑还能保持安全吗？显然不能。因此，360杀毒才使用几种方法用于保护和监控IFEO，防止自身被病毒劫持掉。

查理弗朗西斯

LZ拽英文嘞
等楼下解释，我也看不是很懂，大意就是嫌360杀毒禁用了很多系统服务，请LZ给出截图，也请大牛们给出各种分析，小白的英文水平就到这里了.......
另，潜水艇
又另，看样子LZ你技术很好嘛，既然有实力，又何抱怨360呢
再另：这里是国内环境，拽英文并不能突出您的水平有多高，反倒有**的感觉

十送鸿钧

楼主想干啥被拒绝了？
进程管理器的话，不是windows早就有自带的吗？
还是你提到的process manager是另一个东西？

jm3800072

LZ很高深很有技术，貌似大牛都不用数字的，都说给小白用，这种问题百度自行解决

yestersummer

LZ是卡巴的官人，其实不想用数字的话直接卸载不是更方便么？话说现在的安软都加驱了啊！

李白vs苏轼

神马,NTSD都弱爆了,,呵呵

怎么样了

公司妹子装360杀毒,  到底是怎么装上的,  楼主问问便知了

有意帮忙 ,    无意询问,   可有心来发帖 ,  貌似是要让卡饭饭友知道他比妹子聪明 ,  妹子不如他

kmelon

楼主我相信你可以保护妹子的电脑病毒，但是你可以24小时保护妹子的本子安全？
其实360有进程管理，也支持进程树管理，何不就地解决，非要用procexp？
说实话妹子一般都比较崇拜必究拽的人～