360安全卫士免杀

360安全卫士免杀 突破360安全卫士限制放木马 360安全卫士现在几乎成了装机必备的工具，360安全卫士其实本来只是一款清除流氓软件的工具，可是由于集成了实时防护和简单的木马扫描功能，因此被许多没有正版杀毒软件的用户当成了救命的稻草。 其实360安全卫士的反木马功能是非常弱的，根本无法和真正的杀毒软件相比。不过许多黑菜们在入侵的过程中，却常常碰到因为目标主机上安装了360安全卫士，因此木马被查杀。往往都是可免杀过杀毒软件，但是却不能过360安全卫士——看来，免杀过360安全卫士的方法，还是有必要为大家介绍一下的。 文件名伪装，突破360“慧眼” 首先，来看看360安全卫士扫描流氓软件与木马的原理。这里作一个小测试，我们将系统目录“C:\WINDOWS”下的记事本程序“notepad.exe”修改文件名，将其改为“svchost.exe”。然后用360安全卫士进行扫描，可以看到这个本来是正常的记事本程序文件，仅仅是修改了一下文件名，就变成了一个“伪Honey木马下载器”。 由这个实验可以推断，360安全卫士在对文件进行扫描时，是通过文件名及文件系统描述进行差别的。正常的文件修改文件名后，会变成木马;同样的，木马修改文件名后，也可以变成正常文件，被360安全卫士视而不见。如何才能对木马程序生成的木马服务端进行伪装呢?以“上兴远程控制v4.7”为例进行介绍: 打开上兴远程控制木马生成对话框，在“安装名称”中，将木马释放后的安装文件名设置为“360tray.exe”，将“安装路径”设置为“Windows目录”;在下方的“服务名称”中设置木马服务名为“360tray”， “服务显示名”也设置为“360tray”，最后“描述信息”设置为“360安全卫士实时保护模块”。其它设置项可根据情况设置，点击“生成”按钮，即可生成一个上兴远程控制木马服务端程序。 现在运行刚才生成的木马服务端，将会在Windows目录下释放名为“360tray.exe”的文件，并安装为伪装的“360tray”服务随系统启动运行。然而在木马运行安装的过程中，360安全卫士不会弹出任何提示信息，并且360安全卫士也扫描系统时，也根本扫描不到上兴木马。 提示: 对于一些无法设置服务端释放文件的木马程序，如PCShare之类的，可以通过“Restorator v2006”等资源修改工具，将木马程序中的服务端导出，免杀后修改文件名字，再重新导回木马生成程序中。用正常方法即可生成对360安全卫士免杀的木马服务端程序了。 实时保护，自身难保 上面的方法虽然实现了木马对360安全卫士的免杀，但是对某些木马程序来说，可能无法突破360安全卫士的实时保护功能，因此再介绍一个对所有木马都100%灵验的过360安全卫士的方法。 首先，在本机上开启360安全卫士的主动防护功能。然后运行“上兴远程控制v4.7”，使用 默认的设置，生成一个木马服务端程序。运行木马服务端程序，可以看到木马在添加启动服务项目时，被360安全卫士拦截到了。虽然360安全卫士的拦截反应非常慢，但也还是对木马报警了，如何突破360安全卫士的主动实时保护功能呢?下面就以上兴远程控制417为例，讲解一种简单有效的方法。 步骤一:定位360安全卫士的软肋 同样的，先来作一个小测试，看看360安全卫士的实时监控功能是由什么所控制的。开启360安全卫士的实时保护功能，点击。开始”?“运行”，输入“regedit”命令，回车后执行，打开注册 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 编辑器。 在任意一个注册表项目下，点击右键，新建一个键值，可以看到360安全卫士很快弹出了拦截提示，询问是否允许添加注册表键值。选择“阻止此动作”，则新添加的注册表将会被清除，无法添加成功。 现在，我们再展开注册表编辑器中的[HKEY_LOCAL_MACHINE\SOFTWARE\360safe\safemon]项目，在将该项目下可看到有几个注册表键，将对应的键值全部修改为“0”。再尝试刚才的新建注册表键 浅谈360主动防御(360提示)、瑞星主动及360实时查杀的免杀技巧(转载:紫迪) 现在的360很变态，一方面联合360杀毒，360安全卫士，后台收集数据进行联合防御策略 360实时监视你的电脑，如果你的某个文件操作不符合系统 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 时，比如 根据我的研究， 后台安装服务，**进程，COPY文件到系统目录，他就将父文件等全部后台上传，进入360 服务器后，进行MD5定位，这时，如果有如果有其他电脑同MD5文件进行操作时，在360安 全卫士木马防火墙就会给你拦截，360杀毒也会查杀，这就是360公司所谓的云查杀，当然他 还有复杂的计算系统，这里就不一一道出了针对360的这套防御系统，我们要怎么做才能通过呢, 老猪我针对这套系统做了以下几个策略: 1、 针对后台上传 后台上传很烦人，现在基本上远控人气好的的几个小时被杀，差的一两天，但是，360后台 上传有一个弊端，中国的网络基本上都是ADSL，那么上传的最大理论值是56K，所以一般 大文件，他不会上传，那么我就针对这个问题，在被控端安装时，对起进行体积增加，这样 ，一旦文件大了 他也就不上传了，这样就会保证你的免杀持久那么有很多客户或者内奸， 一旦更新了免杀，他直接上传检测怎么办,针对这个问题，我进行了自我增大优化，我远 控的更新全部是在服务器更新，下载免杀时，更新器直接将更新的免杀在主控端进行自我 增加，增加很大，那么一般人也就不会上传杀毒网或者360后台上传了，因为几十兆的文件， 他上传要几个小时，谁愿意费这劲呢,是不是。那么这么大的文件，生成的被控端安装程序 比较大怎么办,其实，我在主控端免杀增加的体积，不是无的放矢的，我可以增加当然可以 提取，创建安装程序时，提取原来的文件，这样最大可能保证你的免杀持久。 2、 如果你的文件被360杀掉怎么办, 其实360实时查杀并不是真正的查杀，他只是针对文件的MD5值进行校验，如果正确，就确定 这个文件时毒，如果不正确就不是毒，改变MD5值的方法太多了，换个图标，改个版本号 什 么的，所以我在服务端做了个自动免杀，将文件进行变动，我服务器2小时更新一次，你360不 是实时查杀吗,你不是快吗，你快我更快，看谁更牛X。另外，因为我安装被控端时，对被控 端安装文件进行了体积增大，一增大，MD5值当然更不一样了，这样就进入良性循环，360从 此无忧。 3、360主动防御(360提示) 现在过360提示很麻烦，你插进程不行，建服务也不行，更不能动注册表，NND,你够狠，可是难 道这样我就没办法了吗,你狠我更狠，老子安装时扫描被控端的启动列表，你一台电脑总得有几个启 动项吧，老子把你启动的程序给换了，启动我的程序后，我再启动你原来的程序，我也不动你的注册表 也不建服务，我看你怎么办,等你把我这招防御住了，老猪我还有几套备用 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 呢。 3、 瑞星主动 其实瑞星就一2B，过主动很简单，安装的时候加装一个窗体文件，不能纯DLL文件，窗体你可以设置 成最小的一个点，这样就能过了，是不是超级简单,另外老猪研究了一套系统，可以兼容任何木马 1.把资源“OF”的EXE和129输出,EXE输出文件名为WIN.EXE,129输出文件名为WIN.hta(EXE是小马,129是创 建快捷方式的脚本)输出在同一目录下 2.先获得“Shell_TrayWnd”的句柄(PS:开始菜单的父窗口的类名) 3.模拟点击右键选择任务管理器 4.用ShowWindow隐藏任务管理器 5.获得任务管理器的“新任务(&N)...”的句柄 6.打开“创建新任务”窗口 7.获取“ComboBox”句柄 8.输入内容mshta.exe "C:\WINDOWS\WIN.hta" (PS:这步是过360提示的关键) 9.点击确定 这样就过了,WIN.hta这个脚本会在启动菜单组创建一个名为WIN的快捷方式然后启动小马达到开机启动的 效果 以上纯属个人观点，有不足或错误欢迎提出 ----------------------------------------------------------------------------- 其实根本用不着那么麻烦， 直接调用一个API就完成打开mshta.exe "C:\WINDOWS\WIN.hta"这句命令了 WinExec (“mshta.exe ” ， #引号 ， “C:\WINDOWS\WIN.hta” ， #引号, 0) 这句是我用易语言写的 至于小马释放部分自己完成吧 WIN.hta源码 以上代码保存为WIN.hta， 如果懂写程序的话可以调用API获取系统的安装目录 再把代码拼凑起来这样更好 Explorer.exe鲜为人知的参数 收藏 在Windows中，相信大家对“Explorer.exe”并不陌生!通常情况下，在“开始?运行”中输 入“Explorer.exe”命令就能以“资源管理器”方式打开“我的文档”。其实，Explorer.exe还有很多鲜为人知的参数。 命令 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 Explorer [/n][/e][[,/root],[path]][[,/select],[path filename]] 参数 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 /n表示以“我的电脑”方式打开一个新的窗口，通常打开的是Windows安装分区的根目录。 /e表示以“资源管理器”方式打开一个新的窗口，通常打开的也是Windows安装分区的根目录。 /root,[path]表示打开指定的文件夹，/root表示只显示指定文件夹下面的文件(夹)，不显示其它磁盘分区和文件夹;[path]表示指定的路径。 如果不加/root参数，而只用[path]参数，则可以显示其它磁盘分区和文件夹中的内容。另外，[path]还可以指定网络共享文件夹。 /select,[path filename]表示打开指定的文件夹并且选中指定的文件，[path filename]表示指定的路径和文件名。 如果不加/select参数，则系统会用相应的关联程序打开该文件。如果[path filename]不跟文件名就会打开该文件夹的上级目录并选中该文件夹。 应用实例 1.以“资源管理器”方式打开E盘根目录 单击“开始?运行”，输入“explorer /e,/root,e:\”，回车即可。如果需要显示其它磁盘分区和文件夹中的内容，可以输入“explorer /e,e:\”。 2.以“我的电脑”方式打开“E:\Download”目录下的QQ.exe文件在“开始?运行”中键入“explorer /n,/select e:\download\qq.exe”或“explorer /select e:\download\qq.exe”，回车即可。 3.通过“开始”菜单中的“Windows 资源管理器”命令打开特定窗口 以在Windows XP下打开E盘根目录为例。首先在“开始”菜单中用鼠标右键单击“所有程序?附件?Windows 资源管理器”项，选择“属性”命令。接着在弹出窗口的“目标”栏中输入“%SystemRoot%\explorer.exe /e,e:\”(默认值是“%SystemRoot%\explorer.exe”)即可。 本文来自CSDN博客，转载请标明出处:;984/archive/2005/06/04/387569 .aspx