查看: 1690|回复: 3
收起左侧

[讨论] 讨论一个

[复制链接]
kfne12
头像被屏蔽
发表于 2018-5-19 09:19:53 | 显示全部楼层 |阅读模式
本帖最后由 kfne12 于 2018-6-1 14:37 编辑


所以不管你在启动上如何做文章都逃不过监控。R3的各种奇技淫巧也不如R0的一个监控。

木马都已经写了启动项了,直接加个驱就干掉360了。360都从用户电脑里消失了,还监控谁去?


那有人要问,不方便加驱,不加驱行不行呢?
当然也行。
设置AppCompatFlags
设置disablestackextension
设置pagefile为360tray.exe的位置
regload大法
shim机制
断网或者单独禁止360联网
阻止360加载系统的dll
这些方法都可以批处理办到,都可以让360启动不了或者无法正常工作,360都没防或者没完全防。
64位核晶上还可以CreateFile 独占打开360tray.exe什么的
#include <windows.h>
#include <stdio.h>
int main(int argc, char* argv[])  
{  
    HANDLE file_handle;  
    file_handle = CreateFile("d:\\test.exe",  
        GENERIC_READ,  
        0,  
        NULL,  
        OPEN_EXISTING,  
        NULL,  
        NULL);  
    printf("1.GetLastError=%d\n",GetLastError());  
      
    printf("Hello World!  file_handle=%p\n",file_handle);  
    getchar();  
    //CloseHandle(file_handle);  
    return 0;  
}
代码网上抄的,在线编译器通过。当然了,这个方法用批处理实现不了。

总之,只要想不到没有办不到。。。

实际上,重启后干掉一个AV不是很难的事情,如果不添加启动项,360也不会去刻意防这些方法。这以前李宜檑都说过的。






Anan20060615
发表于 2018-5-19 21:33:35 | 显示全部楼层
提前启动反恶意软件:引导启动驱动程序初始化策略

不过应该没人会去故意开这个组策略。。。
peter08
发表于 2018-5-28 17:47:59 | 显示全部楼层
干掉360是不明智的,干掉了就等于告诉别人电脑有问题了,和谐共处才是好的。
逃不过监控当然是不可能的,总会有办法的。
我确实没有研究过写启动,原来还有这么多方法啊。
kfne12
头像被屏蔽
 楼主| 发表于 2018-5-28 19:23:59 | 显示全部楼层
peter08 发表于 2018-5-28 17:47
干掉360是不明智的,干掉了就等于告诉别人电脑有问题了,和谐共处才是好的。
逃不过监控当然是不可能的, ...

不一定要干掉嘛,只要让av看似正常,实际不工作就行了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 22:32 , Processed in 0.122454 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表