speedmem2.hg和命令行拦截的关系太错乱了。

kfne12

https://bbs.kafan.cn/thread-2121300-1-1.html
承接这个帖子，发现删了speedmem2.hg就能恢复正常拦截了。

于是进一步试验，发现speedmem2.hg和各种命令行拦截之间的关系错乱的一塌糊涂。。。。

---------------------------------------------------------------
我们这样测试：

1. <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
   
2. <PARAM name="Command" value="ShortCut">
   
3. <PARAM name="Button" value="Bitmap::shortcut">
   
4. <PARAM name="Item1" value=",regsvr32.exe,/u /n /s /i:1.txt scrobj.dll ,">
   
5. <PARAM name="Item2" value="273,1,1">
   
6. </OBJECT>
   
7. <SCRIPT>
   
8. x.Click();
   
9. </SCRIPT>

复制代码

把上面这个编译成regsvr32.chm

1. <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
   
2. <PARAM name="Command" value="ShortCut">
   
3. <PARAM name="Button" value="Bitmap::shortcut">
   
4. <PARAM name="Item1" value=',cmd.exe,/c copy j:\windows\system32\regsvr32.exe d:\test.exe'>
   
5. <PARAM name="Item2" value="273,1,1">
   
6. </OBJECT>
   
7. <OBJECT id=y classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
   
8. <PARAM name="Command" value="ShortCut">
   
9. <PARAM name="Button" value="Bitmap::shortcut">
   
10. <PARAM name="Item1" value=",d:\test.exe,/u /n /s /i:1.txt scrobj.dll ,">
    
11. <PARAM name="Item2" value="273,1,1">
    
12. </OBJECT>
    
13. <script type="text/javascript">
    
14. x.Click();
    
15. setTimeout("y.Click()",3000);
    
16. </SCRIPT>

复制代码

把上面这个编译成cmd_regsvr32.chm(注意J:\windows是我个人的windows目录，你要改成你的C盘再编译,不然没法运行)。

接下来，先关闭360的zhudongfangyu服务。然后：
1.用pchunter结束360的所有进程，强制删除speedmem2.hg，重启360，运行regsvr32.chm，会发现360正常拦截。
2.用pchunter结束360的所有进程，强制删除speedmem2.hg，重启360，运行cmd_regsvr32.chm，会发现360不拦截。第一步启动cmd.exe和第二步启动test.exe，这两步都不拦截。
3.用pchunter结束360的所有进程，强制删除speedmem2.hg，重启360，运行regsvr32.chm，360拦截，点阻止，再运行cmd_regsvr32.chm，360又会拦截了。第一步启动cmd.exe和第二步启动test.exe都会拦截（拦截第二步的前提是D:\test.exe已经存在）
4.用pchunter结束360的所有进程，强制删除speedmem2.hg，重启360,开始菜单搜索里输入cmd.exe，打开cmd.exe，在cmd里面输入
explorer 1.exe，回车，360拦截“利用explorer入侵电脑”，点阻止，再运行regsvr32.chm，360拦截，点阻止，再运行cmd_regsvr32.chm，360第一步已经不拦截了，只拦截的是第二步。
-------------------------------------------------------------------------
大致就是上述这四种情况。这关系够乱吧。

如果speedmem2.hg是为了优化性能，那么我完全理解这个做法。只是优化个性能，也不至于把事情搞这么复杂吧？不知道各位怎么看？


PS：本帖不讨论绕过方法，我对cmd_regsvr32.chm是否绕过了360正常情况下的拦截并不关心，希望大家别回复讨论这个。

360主动防御

我们先看看叔说的这块能不能优化一下