过360驱动防火墙[已关闭]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

过360驱动防火墙[已关闭]

发表于: 2011-7-1 16:53 18632

过360驱动防火墙[已关闭]

billh

2011-7-1 16:53

18632

有点标题党，这方法现在不能用了吧，网上也出现了，才敢发出来
好久没发贴了，把之前研究的相关的东西弄上去，现在看代码风格好差，建议用google c++编程规范

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・2

免费・0

支持

最新回复 (28) 1 2 ▶
mlwind 雪币： 66 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	mlwind 2 楼 LZ貌似是在数字工作吧,这..... 2011-7-1 17:04 0
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 3 楼不是，呵呵。。。 2011-7-1 17:13 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 4 楼太无聊了太无聊了... 2011-7-1 17:41 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 5 楼表示没见过。。。。。。。 2011-7-1 17:44 0
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 6 楼 ...................................... 2011-7-1 17:47 0
djxh 雪币： 1685 活跃值： (699) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 7 楼有意思, 2011-7-1 17:56 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 8 楼附件已经消失了~ 话说，过360很简单，有个XXX.exe只有10+KB丫有签名，丫在一切杀毒主防里都是白名单，丫会加载同目录下的xxx.dll~~~ xxx.exe的父进程要做个和谐处理，所以需要ParentHack(非VISTA系统下直接ntdll!xxxx的参数改一下就可以实现以explorer.exe为父进程启动了~~) 如果那个xxx.dll创建服务，加载某xxx.sys,xxx.sys有签名，而且在所有杀毒里也是白名单，xxx.sys会加载同目录下xx.dat文件（peloader啊~~~）然后你懂得，世界和谐了~~~~ 2011-7-1 23:08 0
jpinglove 雪币： 14 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 206 粉丝 0 关注私信	jpinglove 9 楼祝我们的姥姥生日快乐!! 2011-7-1 23:38 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 10 楼已找出所有 10+KB的xxx.exe，下面开始人肉实验 label.exe mountvol.exe sprestrt.exe autolfn.exe chkntfs.exe doskey.exe reset.exe wowexec.exe wpnpinst.exe attrib.exe chkdsk.exe mstinit.exe proxycfg.exe rasautou.exe setver.exe sfc.exe tracert.exe append.exe edlin.exe lsass.exe REGCLADM.EXE replace.exe savedump.exe spiisupd.exe wbem\winmgmt.exe auditusr.exe convert.exe rasdial.exe rdsaddin.exe regsvr32.exe rexec.exe runonce.exe svchost.exe wscntfy.exe ctfmon.exe fc.exe jdbgmgr.exe wbem\mofcomp.exe npp\nppagent.exe pentnt.exe rsh.exe stimon.exe taskman.exe tcmsetup.exe comp.exe dmremote.exe perfmon.exe logoff.exe shadow.exe tftp.exe tscon.exe tsdiscon.exe wbem\unsecapp.exe upnpcont.exe wpdshextautoplay.exe dpnsvr.exe expand.exe mrinfo.exe ping.exe rwinsta.exe tskill.exe arp.exe qappsrv.exe sysedit.exe tsshutdn.exe hh.exe taskman.exe 2011-7-1 23:38 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 11 楼好方法呀~~，回去研究研究 2011-7-2 00:05 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 12 楼这个·exe不一定是M$的，他可能是TX的，可能是SD的，还可能是任何一个公司的~ 2011-7-2 00:09 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 13 楼折个，折个、、、、我还是去和妹子聊天好点 2011-7-2 00:20 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 14 楼表示压力很大，曾经简单的在启动进程的时候，修改过parent handle为explorer.exe。不过启动不起来。。 2011-7-2 00:33 0
超然雪币： 422 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 86 粉丝 3 关注私信	超然 3 15 楼就是之前用的方法....... 你懂的....... 2011-7-2 00:46 0
EvilKnight 雪币： 378 活跃值： (702) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 16 关注私信	EvilKnight 4 16 楼第三方程序...... 安全厂商的////// 2011-7-2 00:48 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 17 楼于是聪明的人们发明了 Sendkey Win+R 然后输入那啥来启动exe~ 2011-7-2 01:14 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 18 楼 v神说的是不是完美的反挂系统?? 2011-7-2 02:35 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 19 楼哥，我来看你了 2011-7-2 11:44 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 20 楼还有sendMessage hotkey等方法 2011-7-2 11:53 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 21 楼切，不是还有sendkey给taskmgr，新建任务，启动病毒的么。不好使啦，别做木马啦，捐钱给红X会吧 2011-7-2 12:02 0
tokiii 雪币： 695 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	tokiii 22 楼又见校长爆料。。 2011-7-2 12:25 0
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 23 楼现在流行到山区捐现金了哈哈 2011-7-2 12:36 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 24 楼话说貌似Au3的installer还是白名单吧~貌似AU3安装脚本释放bin，你们不拦吧~ 貌似UIWImport安装证书这么纠结的东西，你们不拦截吧~ 木马多没意思啊，现在哥搞OA软件了，上看雪看到这个帖子就把老料爆爆~ 2011-7-2 13:22 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 25 楼 sudami成MJ的接班人了！你们懂的 2011-7-2 22:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

billh

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
mlwind 雪币： 66 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	mlwind 2 楼 LZ貌似是在数字工作吧,这..... 2011-7-1 17:04 0
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 3 楼不是，呵呵。。。 2011-7-1 17:13 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 4 楼太无聊了太无聊了... 2011-7-1 17:41 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 5 楼表示没见过。。。。。。。 2011-7-1 17:44 0
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 6 楼 ...................................... 2011-7-1 17:47 0
djxh 雪币： 1685 活跃值： (699) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 7 楼有意思, 2011-7-1 17:56 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 8 楼附件已经消失了~ 话说，过360很简单，有个XXX.exe只有10+KB丫有签名，丫在一切杀毒主防里都是白名单，丫会加载同目录下的xxx.dll~~~ xxx.exe的父进程要做个和谐处理，所以需要ParentHack(非VISTA系统下直接ntdll!xxxx的参数改一下就可以实现以explorer.exe为父进程启动了~~) 如果那个xxx.dll创建服务，加载某xxx.sys,xxx.sys有签名，而且在所有杀毒里也是白名单，xxx.sys会加载同目录下xx.dat文件（peloader啊~~~）然后你懂得，世界和谐了~~~~ 2011-7-1 23:08 0
jpinglove 雪币： 14 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 58 回帖 206 粉丝 0 关注私信	jpinglove 9 楼祝我们的姥姥生日快乐!! 2011-7-1 23:38 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 10 楼已找出所有 10+KB的xxx.exe，下面开始人肉实验 label.exe mountvol.exe sprestrt.exe autolfn.exe chkntfs.exe doskey.exe reset.exe wowexec.exe wpnpinst.exe attrib.exe chkdsk.exe mstinit.exe proxycfg.exe rasautou.exe setver.exe sfc.exe tracert.exe append.exe edlin.exe lsass.exe REGCLADM.EXE replace.exe savedump.exe spiisupd.exe wbem\winmgmt.exe auditusr.exe convert.exe rasdial.exe rdsaddin.exe regsvr32.exe rexec.exe runonce.exe svchost.exe wscntfy.exe ctfmon.exe fc.exe jdbgmgr.exe wbem\mofcomp.exe npp\nppagent.exe pentnt.exe rsh.exe stimon.exe taskman.exe tcmsetup.exe comp.exe dmremote.exe perfmon.exe logoff.exe shadow.exe tftp.exe tscon.exe tsdiscon.exe wbem\unsecapp.exe upnpcont.exe wpdshextautoplay.exe dpnsvr.exe expand.exe mrinfo.exe ping.exe rwinsta.exe tskill.exe arp.exe qappsrv.exe sysedit.exe tsshutdn.exe hh.exe taskman.exe 2011-7-1 23:38 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 11 楼好方法呀~~，回去研究研究 2011-7-2 00:05 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 12 楼这个·exe不一定是M$的，他可能是TX的，可能是SD的，还可能是任何一个公司的~ 2011-7-2 00:09 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 13 楼折个，折个、、、、我还是去和妹子聊天好点 2011-7-2 00:20 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 14 楼表示压力很大，曾经简单的在启动进程的时候，修改过parent handle为explorer.exe。不过启动不起来。。 2011-7-2 00:33 0
超然雪币： 422 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 86 粉丝 3 关注私信	超然 3 15 楼就是之前用的方法....... 你懂的....... 2011-7-2 00:46 0
EvilKnight 雪币： 378 活跃值： (702) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 16 关注私信	EvilKnight 4 16 楼第三方程序...... 安全厂商的////// 2011-7-2 00:48 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 17 楼于是聪明的人们发明了 Sendkey Win+R 然后输入那啥来启动exe~ 2011-7-2 01:14 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 18 楼 v神说的是不是完美的反挂系统?? 2011-7-2 02:35 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 19 楼哥，我来看你了 2011-7-2 11:44 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 20 楼还有sendMessage hotkey等方法 2011-7-2 11:53 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 21 楼切，不是还有sendkey给taskmgr，新建任务，启动病毒的么。不好使啦，别做木马啦，捐钱给红X会吧 2011-7-2 12:02 0
tokiii 雪币： 695 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	tokiii 22 楼又见校长爆料。。 2011-7-2 12:25 0
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 23 楼现在流行到山区捐现金了哈哈 2011-7-2 12:36 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 24 楼话说貌似Au3的installer还是白名单吧~貌似AU3安装脚本释放bin，你们不拦吧~ 貌似UIWImport安装证书这么纠结的东西，你们不拦截吧~ 木马多没意思啊，现在哥搞OA软件了，上看雪看到这个帖子就把老料爆爆~ 2011-7-2 13:22 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 25 楼 sudami成MJ的接班人了！你们懂的 2011-7-2 22:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复