[原创]初步验证了我的想法——关于 360 安全卫士的自我保护-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]初步验证了我的想法——关于 360 安全卫士的自我保护 0.00雪花

发表于: 2008-3-29 01:15 13536

[旧帖] [原创]初步验证了我的想法——关于 360 安全卫士的自我保护 0.00雪花

FlowerCode 活跃值

2008-3-29 01:15

13536

关于 360 安全卫士（360 保险箱）的自我保护，我之前看到不少的广告，但一直没去研究。今天抽空仔细看了看（因为实在是疑惑）。
该程序在内核中只挂了两个 Hook（KiSystemService、KeUserModeCallback），那怎么可能拦截 IceSword、RkU 等等 ARK 的暴力结束呢？

这个问题的答案我已经考虑了很久，但始终不敢相信这是正确答案，直到我今天亲自验证了。

经过我的初步验证，360 安全卫士的自我保护方法是在 KiSystemService Hook 中过滤 ZwDeviceIoControlFile 函数的参数，若发现受到保护的 PID/EPROCESS 则进行干扰。

由于许多 ARK 对于这些信息都是用 IoControl 明文传递给驱动的，这样就使得此法屡试不爽。

于是我编译了一个驱动，采用了很标准的 PsLookupProcessByProcessId -> KeStackAttachProcess -> ZwTerminateProcess 的流程。所有的流程都在驱动中完成，不使用 IoControl。结果用此法保护的 360safe、360safebox、360tray 等进程均被瞬间结束。

当然，360 在 KiSystemService Hook 中还过滤了其它的一些函数，比如 ZwOpen***，用于阻止用户态程序结束其进程。

（另：360 对某些国际知名、国家免检的 ARK 是做过特殊处理的，IoControl 加密了也没用。）

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・4

免费・0

支持

最新回复 (21)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼马甲? 这一招好像NP 就用过.当然其实直接插那个CrossThreadFlags看起来也不错. 以上纯属YY. 2008-3-29 01:26 0
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 3 楼本人非马甲。 CrossThreadFlags 不够可靠啊。 2008-3-29 03:18 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 4 楼本来只是个商业炒作，意料之中 2008-3-29 08:08 0
ggg520 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 140 粉丝 0 关注私信	ggg520 5 楼 360好象在进程里边就可以直接结束掉? 2008-3-29 12:48 0
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 6 楼不能。你可能用的是旧版本，去 360safe.com 下载最新的测试版，然后在设置里面开启保护试试。或者你也可以直接拿 360 保险箱测试。 2008-3-29 16:12 0
ggg520 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 140 粉丝 0 关注私信	ggg520 7 楼我用的那个360V4.0正式版,保险箱好象是2.0版的. 4.0BEAT1的没试 4.0的这个可以直接关掉,我还觉得奇怪,这东西怎么这么容易就被关掉,那还能保护吗.. 这样的话,我就更新下自己的版本 2008-3-29 17:09 0
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 8 楼其实最新的 360 安全卫士就是用 360 保险箱的驱动进行自我保护的。 2008-3-30 01:14 0
chenwitch 雪币： 88 活跃值： (156) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 92 粉丝 2 关注私信	chenwitch 9 楼学习了,开启保护功能后,就不能直接在用户态关掉了 2008-6-13 19:03 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 10 楼我是一个菜菜,不懂的什么驱动的编写! 本来看到这样的帖子,我从来不回复的!可是这次我真的忍不出想说一下! 从情理上讲: 首先,我来说一下360安全卫士,他的成员平均年龄是25岁,他的经理傅盛是我的校友!,今天该30多了,也就是说,他的成员中很多人都是大学刚毕业甚至有很多没有上过大学的! 他们一群年轻人创业,应该多给他们一点鼓励,更何况,360安全卫士我用的感觉还不错! 再说,每一个群体,组织都是由弱到强的,慢慢成长的!国内有这样的一群人,为大家提供这么一个免费的安全平台,我们应该多多的支持他们!而不是想LZ这样给他们乱挑骨头!您说呢? 再从技术上考虑! 我们如果都对他的技术上挑毛病,这样的确会让它成长的更快,更好,但是,我建议这样的帖子或者文章,要发到360安全卫士的论坛上!而不是在这里发牢骚!这样才是对360好,您说呢? 最后,我在评论一下你这个帖子! 你的标题是[原创]!我的理解是,所谓原创就是自己近期成果的展示,并将自己学到的东西、经验,分享给大家!可是你分享了什么呢? 你测试的过程在哪里? 只贴一个结论?那我是不是也可以帖一个<经测试美国国防部网络防御系统防御能力不高,我使用一个DDOS,它就跨了~>这样的帖子呢? 由此可见,楼主的目的不纯哦`~~~~ 2008-6-13 19:56 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 11 楼既然不懂还是不说为好，说的还是些明显“加了料”的话。。。别人的帖子说明了“保护”的原理，正因为你不懂所以不知道“分享了什么”。 “动机不纯”的帽子FlowerCode就戴上啦，哈哈 2008-6-13 20:20 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 12 楼你多虑了，楼主（如果非马甲）和MJ0011是网上熟识，所以完全是技术上讨论一下子，没有什么恶意。至于说的那么简略，正是不想说得太具体被人拿去恶意利用。他和MJ私下交流的东西可是比这帖说的内容要具体而多得多。 2008-6-14 00:27 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 13 楼向楼主道个歉! 以后少说话,多学点东西~~~,面的反错误`~~ 2008-6-14 10:11 0
shanfuyu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	shanfuyu 14 楼动机不纯..... ,周鸿祎以前的3721是多流氓,现在反过来做反流氓软件....这怎么去评论呢 2008-6-14 11:01 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 15 楼 360垃圾，保险箱安装后卡得要死 2008-6-17 00:23 0
jingru 雪币： 102 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 171 粉丝 0 关注私信	jingru 16 楼 360的作者不是传说中的中国第一黑客么,在他眼中别人都是sb额 2008-6-17 00:51 0
winmaxc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	winmaxc 17 楼 PsLookupProces**yProcessId -> KeStackAttachProcess -> ZwTerminateProcess 按照这个3步好象结束不掉360进程的。 2008-8-14 22:52 0
肖枫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	肖枫 18 楼多看，多学习。努力上进。 2008-8-14 23:13 0
crazybug 雪币： 12 活跃值： (585) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 19 楼有个疑问经过我的初步验证，360 安全卫士的自我保护方法是在 KiSystemService Hook 中过滤 ZwDeviceIoControlFile 函数的参数，若发现受到保护的 PID/EPROCESS 则进行干扰。如果参数里的数据恰好和要过滤的数据一样，但不相关的话，会不会对其他程序产生影响？ 2008-9-26 11:47 0
infuse 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	infuse 20 楼没有人挑刺，他们怎么能成长~ 2008-10-31 10:32 0
dayang 雪币： 220 活跃值： (711) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 21 楼用工具恢复下内核中的钩子，就可以搞定了吧，一共就两个地方吧 2009-2-13 17:56 0
vwzhou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	vwzhou 22 楼正好需要这方面的文章,哈哈. 2009-2-13 18:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

FlowerCode

发帖

回帖

RANK

关注

私信

他的文章

[原创]初步验证了我的想法——关于 360 安全卫士的自我保护 13537

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼马甲? 这一招好像NP 就用过.当然其实直接插那个CrossThreadFlags看起来也不错. 以上纯属YY. 2008-3-29 01:26 0
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 3 楼本人非马甲。 CrossThreadFlags 不够可靠啊。 2008-3-29 03:18 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 4 楼本来只是个商业炒作，意料之中 2008-3-29 08:08 0
ggg520 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 140 粉丝 0 关注私信	ggg520 5 楼 360好象在进程里边就可以直接结束掉? 2008-3-29 12:48 0
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 6 楼不能。你可能用的是旧版本，去 360safe.com 下载最新的测试版，然后在设置里面开启保护试试。或者你也可以直接拿 360 保险箱测试。 2008-3-29 16:12 0
ggg520 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 140 粉丝 0 关注私信	ggg520 7 楼我用的那个360V4.0正式版,保险箱好象是2.0版的. 4.0BEAT1的没试 4.0的这个可以直接关掉,我还觉得奇怪,这东西怎么这么容易就被关掉,那还能保护吗.. 这样的话,我就更新下自己的版本 2008-3-29 17:09 0
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 8 楼其实最新的 360 安全卫士就是用 360 保险箱的驱动进行自我保护的。 2008-3-30 01:14 0
chenwitch 雪币： 88 活跃值： (156) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 92 粉丝 2 关注私信	chenwitch 9 楼学习了,开启保护功能后,就不能直接在用户态关掉了 2008-6-13 19:03 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 10 楼我是一个菜菜,不懂的什么驱动的编写! 本来看到这样的帖子,我从来不回复的!可是这次我真的忍不出想说一下! 从情理上讲: 首先,我来说一下360安全卫士,他的成员平均年龄是25岁,他的经理傅盛是我的校友!,今天该30多了,也就是说,他的成员中很多人都是大学刚毕业甚至有很多没有上过大学的! 他们一群年轻人创业,应该多给他们一点鼓励,更何况,360安全卫士我用的感觉还不错! 再说,每一个群体,组织都是由弱到强的,慢慢成长的!国内有这样的一群人,为大家提供这么一个免费的安全平台,我们应该多多的支持他们!而不是想LZ这样给他们乱挑骨头!您说呢? 再从技术上考虑! 我们如果都对他的技术上挑毛病,这样的确会让它成长的更快,更好,但是,我建议这样的帖子或者文章,要发到360安全卫士的论坛上!而不是在这里发牢骚!这样才是对360好,您说呢? 最后,我在评论一下你这个帖子! 你的标题是[原创]!我的理解是,所谓原创就是自己近期成果的展示,并将自己学到的东西、经验,分享给大家!可是你分享了什么呢? 你测试的过程在哪里? 只贴一个结论?那我是不是也可以帖一个<经测试美国国防部网络防御系统防御能力不高,我使用一个DDOS,它就跨了~>这样的帖子呢? 由此可见,楼主的目的不纯哦`~~~~ 2008-6-13 19:56 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 11 楼既然不懂还是不说为好，说的还是些明显“加了料”的话。。。别人的帖子说明了“保护”的原理，正因为你不懂所以不知道“分享了什么”。 “动机不纯”的帽子FlowerCode就戴上啦，哈哈 2008-6-13 20:20 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 12 楼你多虑了，楼主（如果非马甲）和MJ0011是网上熟识，所以完全是技术上讨论一下子，没有什么恶意。至于说的那么简略，正是不想说得太具体被人拿去恶意利用。他和MJ私下交流的东西可是比这帖说的内容要具体而多得多。 2008-6-14 00:27 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 13 楼向楼主道个歉! 以后少说话,多学点东西~~~,面的反错误`~~ 2008-6-14 10:11 0
shanfuyu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	shanfuyu 14 楼动机不纯..... ,周鸿祎以前的3721是多流氓,现在反过来做反流氓软件....这怎么去评论呢 2008-6-14 11:01 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 15 楼 360垃圾，保险箱安装后卡得要死 2008-6-17 00:23 0
jingru 雪币： 102 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 171 粉丝 0 关注私信	jingru 16 楼 360的作者不是传说中的中国第一黑客么,在他眼中别人都是sb额 2008-6-17 00:51 0
winmaxc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	winmaxc 17 楼 PsLookupProces**yProcessId -> KeStackAttachProcess -> ZwTerminateProcess 按照这个3步好象结束不掉360进程的。 2008-8-14 22:52 0
肖枫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	肖枫 18 楼多看，多学习。努力上进。 2008-8-14 23:13 0
crazybug 雪币： 12 活跃值： (585) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 19 楼有个疑问经过我的初步验证，360 安全卫士的自我保护方法是在 KiSystemService Hook 中过滤 ZwDeviceIoControlFile 函数的参数，若发现受到保护的 PID/EPROCESS 则进行干扰。如果参数里的数据恰好和要过滤的数据一样，但不相关的话，会不会对其他程序产生影响？ 2008-9-26 11:47 0
infuse 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	infuse 20 楼没有人挑刺，他们怎么能成长~ 2008-10-31 10:32 0
dayang 雪币： 220 活跃值： (711) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 21 楼用工具恢复下内核中的钩子，就可以搞定了吧，一共就两个地方吧 2009-2-13 17:56 0
vwzhou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	vwzhou 22 楼正好需要这方面的文章,哈哈. 2009-2-13 18:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复