破剑‘s碎鞘

AU3干掉360实时保护
 破剑

（发表于黑客防线08年第7期）

今天心情不爽，
 最近学习用au3写程序的自动安装脚本，发觉au3很是强大。今天在一个群里一位 兄弟说现在的木马基本都不能过360的实时保护。现在的好多木马都能过主防，但 是都惨败在360的拦截之下。于是我就想pk一把360的实时保护。

去虚拟机安装了360安全卫士，运行我免杀的黑洞服务端，黑洞上线了，过一会360提示添加未知服务。如图1

一点拒绝，服务端立刻下线，查看黑洞的服务状态变为停止。经过测试，得出360是隔一定的时间对特定的地方进行检测，并将结果与上一次的数据进行对比，如果有变化就提示。说明360的实时保护并不实时啊！查看360的实时保护 一共有5种保护，分别是恶意插件入侵拦截，网页防漏及恶意网站拦截，U盘病毒免疫，局域网ARP攻击拦截，系统关键位置保护。默认状态下360开启了除局域网ARP攻击拦截以外的保护，进过分析，拦截木马服务的应该是系统关键位置保护。于是我还原虚拟机后安装360，并关闭360的系统关键位置保护。运行免杀的黑洞后，打开360结果无任何提示，证明了只要360的保护被关闭，再运行我们的木马360的实时防护就成睁眼瞎了。经过我开启和关闭360的关键位址防护的动作对比，发现注册表里有了变化，于是我就直接修改注册表的键值发现360的防御没变化，但是当我退出360，并重新运行360后，发现360的防御状态被更改了。

[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"ExecAccess"=dword:00000001  恶意插件
[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"SiteAccess"=dword:00000001 网页防漏功能
[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"MonAccess"=dword:00000000 系统关键位置保护
[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"UDiskAccess"=dword:00000001 U盘免疫
当值为00000001时打开保护，0000000为关闭保护

于是一个过360的流程就出来了：先结束360的进程，然后修改注册表的键值，关闭360的实时保护，运行木马。还可以在木马运行后，再打开360的防御，免得被人发现。既然最近在用强大的au3进行自动化操作，那么我就想用au3打造一个过360的DD。
安装au3后 ，新建一个文本文档把后缀名修改为au3点右键选择编辑脚本（scitf），就可以写我们过360的代码了。
结束进程
 前面说过了要过360 就先干掉他的进程。通过查找帮助结束进程的函数为ProcessClose  。使用方法为ProcessClose ( "进程名" [, 标志] )4.1版的360有2个进程一个为360safe.exe另一个为360tray.exe。结束代码如图
 
但是在测试中发现重新打开360会提示，如图
 
所以我们就换一个换成xp自己带的工具taskkill来结束它。AU3中运行其他程序的函数有RUN， RUNWAIT两个函数的区别在于RUN直接运行外部程序不等待，直接执 行下一句。RUNWAIT是运行一个外部程序并暂停脚本的执行直至该程序执行完毕。在这里我们两个都可以用。但我们必须要先结束了进程然后修改注册表才有效果，所以为了安全我建议使用RUNWAIT。使用方法为RUNWAIT（“运行的文件名”）由于taskkill是命令行的DD，运行起来的时候会跳出一个黑框框然后消失。那不无疑与告诉别人。嘿，哥们你中招了赶紧杀毒吧！AU3提供隐藏窗口的函数@SW_HIDE。帮助手册给他定义为：隐藏指定窗口并激活其它窗口。用他来影藏窗口就完美了。完整的命令如图
 

注册表
进程结束完了，继续修改注册表。AU3修改注册表的函数使用RegWrite直接通过写入的方法来进行修改键值试用格式为RegWrite ( "键名" [,"值项", "类型", 数据] )
注册表可以把全部的保护关闭，也可只关闭系统关键位置保护。
 
运行木马

360的实时保护经过上面的处理已经变成残废了，现在直接运行我们的木马就安全了，用run runwiat都可以。

隐蔽au3运行的图表
默认情况下au3运行在右下脚会有一个黑色的小球图标，脚本运行完毕后自动退出。从脚本开始到木马结束的话时间也不短的，所以要隐藏AU3的运行图表在编写的脚本第一行加上#NoTrayIcon即可隐藏图标
键鼠锁定

由于au3在自动运行时，键盘鼠标的操作有可能会导致脚本中断，所以有必要对键盘鼠标进行暂时锁定，锁定函数为BlockInput  1 = 屏蔽用户输入0 = 启用用户输个人觉得在#NoTrayIcon执行后执行键盘锁定最好，所以在#NoTrayIcon后输入BlockInput(1)，键盘一旦锁定会屏蔽用户的一切输入，在脚本执行完毕后必须进行解锁，不然只有重启计算机后键盘鼠标才可进行操作，BlockInput 为键鼠解锁函数参数和BlockInput一样，BlockInput(0)我建议在在最后的一行加上这句代码。
最终代码为
 

经过上面的几步我们把工作已经做完了，将写好的脚本编译为EXE即可。点工具下的编译脚本或者按ctrl+f7然后指定保存路径后即可编译成功。然后将编译后的文件和木马放到一起将你的木马改名为第3部中run后的文件名即可然后制作成rar自解压包。如果不会制作自解压包的朋友，请自行查找相关资料。

以上这个方法只是个思路，会编程的朋友就更容易实现这个了。编译出的文件应该会更小的，如果对免杀有兴趣的朋友可以加我qq交流 qq 460604545或者到论坛进行交流 论坛ID：剑行偏锋。
AU3有将近40M，下载地址为：http://www.autoit.net.cn/autoitv3/3.2.11.1.2p.exe
联系邮箱：shortwalk@126.com    
QQ:460604545