重大发现：360在正月初八前已经更新驱动，拦截金山毒霸

syku520

我就不说神马下载软件啊，用云盘的时候发现的了。微博早就有类似的投诉了，本来觉得神仙打架，干我等凡人啥事，不过看到此类事件可以归为重大发现，那我发现的要比360那位技术大牛早啊！不过微博用户可能比我发现的更早。


详细描述一下我的发现，欢迎大家围观：

[文件名称]: 360qpesv.sys
[MD5]: d2705ad7fffcd3d003d58c3646b14a73
[版本号]: 1.0.0.1115

对抗代码主要在360qpesv.sys注册的关机回调函数中完成: [sub_14966]
主要流程如下:
1) 尝试卸载ksclras、Bootsafe驱动的关机回调函数 (IoUnregisterShutdownNotification 枚举驱动所有设备 逐个卸载)

2）检查360卫士、360杀毒的服务启动状态，并尝试恢复启动项

3）检查毒霸服务kxesc / kxescore是否在somextrainfo.ini的配置文件中，如果存在则尝试卸载kisknl驱动的关机回调函数，然后遍历删除禁用毒霸以及其它杀毒软件的服务注册表项(start)，最后遍历服务注册表项，检查对应驱动的文件特征，满足特征禁用启动并摘除其关机回调函数(主要针对毒霸)，详情见下。



内容被论坛被限制！提供文档下载阅读

22667999

来搞笑的

hddu

太好了，两家都是干了，都不是好鸟。
斗下去，两败俱伤，两家倒闭，网民高兴。

qftest

真热闹。。。这些卫士啊管家啊卫的是谁?管的又是谁？

wenjuner

唉，安心做软件不好啊？整天不消停。

weiyishiwo01

我是来看热闹的.
继续继续.

血魔鸳薏

金山毒霸恶意破坏360全部软件，不但不回应，现在又开始转移话题了，无耻得真够彻底啊！

keepball

楼主发这样的内容干啥呢？来KFAN的大家都知道360是啥德行了吧，要是不做恶，才怪了！

jpzy

1，初八就发现了，怎么今天才发？以金山的本事，这点事儿真被逮住了，估计初九公告已经满天飞，搞不好360已经收到律师信了。

2，即使是真的。360的驱动是摘除金山的关机回调函数。文中没写金山这个回调函数是做什么的。看了今天金山的驱动干的活，我有理由怀疑，金山的回调函数做了不利于360的事儿。

ZJUER

看了下反汇编出来的代码，我觉得吧，楼主简直是……故意曲解有意思么？就这两段代码足够作为金山恶意破坏360的铁证作为呈堂证供了。

我觉得微软赶紧还是赶紧建立应用准入制度吧，金山这个我觉得还是吊销数字签名比较好