这个算漏洞么？求验证

亡灵之月

首先，　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ，如图，有两个



准备一个reg文件，修改日期调到了2013年



把这个reg放入 C:\Documents and Settings\你的用户名\Application Data\360safe\Regbackup 里面（批处理可以，这个文件夹好像不受360卫士的保护）



打开360卫士清理痕迹，清理注册表，完毕后Regbackup里面会多一个最新的备份



点击清理痕迹最下边的“恢复注册表”



刚才放入Regbackup文件夹的 360.reg消失，最新的备份依旧存在，再看注册表




然而，这整个过程，360卫士在联网、手动模式下，没有任何提示，而且木马防火墙的历史记录，没有相关日志（偶的卫士换了u版以后，有时会有点不正常，所以请大家帮忙验证下，毛豆的D+关了，只是纯墙而已，卫士版本是7.7.0.1001u）

亡灵之月

不仅是可以写这个启动的注册表，其他地方也可以写，有些受360保护的不可以写

360清理痕迹恢复注册表，恢复的是修改时间最靠后的那个，比如2013年的那个

而且写启动项不会有任何提示，即便是手动模式，而且也没记录（不排除偶的卫士抽风，试了很多次，好像看过有记录的时候）

不知道这个算不算漏洞，反正可以利用下，首先放一个reg到那个文件夹，reg的修改日期是2012、2013、、然后就等着用户点击恢复注册表了，耐心等吧，只要点了，没超过你的修改时间，应该就会恢复放入的那个reg

不知道能不能直接调用【清理痕迹】来恢复注册表，如果能的话，那真的是无拦截就加启动了，也不知道其他的有备份注册表功能的软件，有没有这个问题

522586971

有点意思。
不过利用价值很小。。

comicwm

这个，我试了 是这样，没有任何记录
恢复按照最后修改时间来判断的 所以只要你添加进去的注册表文件是里面修改时间最新的就会被恢复。。。

xiayang1221

确实没什么用的

小紫英

问题是木马怎么点恢复

leisong

这个思路太奇特了，木马被逼到绝路就得想这些旁门左道

不过，不可能被直接调用【清理痕迹】来恢复注册表，因为不是调用就完事的，还需要操作鼠标

这需要相当的耐心，360的注册表清理功能很少出错，再说普通用户一般很少清理注册表，即使侥幸成功，依然逃不了云查杀

xiayang1221

回复 6楼 小紫英 的帖子

360主防是检测祖先进程的，如果发现添加启动项的进程或者dll的祖先进程有不是白名单的话，立马拦截，这就是他的机制

亡灵之月

回复 6楼 小紫英 的帖子

放上一段时间，可能用户会自己点恢复哪怕只是个恶作剧，或者是纯粹的破坏性reg，或者添加个url，都会给用户一个错觉，用360恢复注册表，结果恢复出问题来了

不知道能不能直接调用tracesweeper.exe恢复注册表，也不知道360卫士对其他有类似功能的软件是否会拦截

comicwm

回复 8楼 xiayang1221 的帖子

你和白羊谈卫士的机制...