360防护

其实360安全卫士的反木马功能是非常弱的，根本无法和真正的杀毒软件相比。不过许多黑菜们在入侵的过程中，却常常碰到因为目标主机上安装了360安全卫士，因此木马被查杀。往往都是可免杀过杀毒软件，但是却不能过360安全卫士——看来，免杀过360安全卫士的方法，还是有必要为大家介绍一下的。

文件名伪装，突破360“慧眼”

首先，来看看360安全卫士扫描流氓软件与木马的原理。这里作一个小测试，我们将系统目录“C:\WINDOWS”下的记事本程序“notepad.exe”修改文件名，将其改为“svchost.exe”。然后用360安全卫士进行扫描，可以看到这个本来是正常的记事本程序文件，仅仅是修改了一下文件名，就变成了一个“伪Honey木马下载器”。

由这个实验可以推断，360安全卫士在对文件进行扫描时，是通过文件名及文件系统描述进行差别的。正常的文件修改文件名后，会变成木马；同样的，木马修改文件名后，也可以变成正常文件，被360安全卫士视而不见。如何才能对木马程序生成的木马服务端进行伪装呢?以“上兴远程控制v4.7”为例进行介绍：

打开上兴远程控制木马生成对话框，在“安装名称”中，将木马释放后的安装文件名设置为“360tray.exe”360安全卫士，将“安装路径”设置为“Windows目录”；在下方的“服务名称”中设置木马服务名为“360tray”，“服务显示名”也设置为“360tray”360安全卫士，最后“描述信息”设置为“360安全卫士实时保护模块”。其它设置项可根据情况设置，点击“生成”按钮360安全卫士，即可生成一个上兴远程控制木马服务端程序。

现在运行刚才生成的木马服务端，将会在Windows目录下释放名为“360tray.exe”的文件，并安装为伪装的“360tray”服务随系统启动运行。然而在木马运行安装的过程中360安全卫士，360安全卫士不会弹出任何提示信息，并且360安全卫士也扫描系统时，也根本扫描不到上兴木马。

提示：

对于一些无法设置服务端释放文件的木马程序，如PCShare之类的，可以通过“Restorator v2006”等资源修改工具，将木马程序中的服务端导出，免杀后修改文件名字，再重新导回木马生成程序中。用正常方法即可生成对360安全卫士免杀的木马服务端程序了。

实时保护，自身难保

上面的方法虽然实现了木马对360安全卫士的免杀，但是对某些木马程序来说，可能无法突破360安全卫士的实时保护功能，因此再介绍一个对所有木马都100%灵验的过360安全卫士的方法。

首先，在本机上开启360安全卫士的主动防护功能。然后运行“上兴远程控制v4.7”，使用默认的设置360安全卫士，生成一个木马服务端程序。运行木马服务端程序，可以看到木马在添加启动服务项目时，被360安全卫士拦截到了。虽然360安全卫士的拦截反应非常慢，但也还是对木马报警了，如何突破360安全卫士的主动实时保护功能呢?下面就以上兴远程控制417为例，讲解一种简单有效的方法。

步骤一：定位360安全卫士的软肋

同样的，先来作一个小测试，看看360安全卫士的实时监控功能是由什么所控制的。开启360安全卫士的实时保护功能360安全卫士，点击。开始”→“运行”，输入“regedit”命令360安全卫士，回车后执行，打开注册表编辑器。

在任意一个注册表项目下360安全卫士，点击右键，新建一个键值，可以看到360安全卫士很快弹出了拦截提示，询问是否允许添加注册表键值。选择“阻止此动作”，则新添加的注册表将会被清除，无法添加成功。

现在，我们再展开注册表编辑器中的[HKEY_LOCAL_MACHINE\SOFTWARE\360safe\safemon]项目360安全卫士，在将该项目下可看到有几个注册表键，将对应的键值全部修改为“0”。

再尝试刚才的新建注册表键值操作，可以发现，360安全卫士已经不会弹出提示信息了。由此可知，该注册表项目下的这几个注册表键值360安全卫士，控制着360安全卫士的监控状态。当注册表键值为0时，实时保护监控将会被关闭；当注册表键值为1时，实时监控保护项目将会被开启。通过屏幕右下角系统托盘区处的360图标弹出菜单中，可以看出注册表键值与监控状态的对应关系。

提示：

在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\360safe\safemon]项下中的几个注册表键，分别对应的监控项目如下：

ARPAccess ARP防火墙监控状态

ExecAccess 恶意插件监控状态

IEProtAccess 网页防漏洞监控状态

MonAccess 系统关键位置监控状态

SiteAccess 恶意软件的拦截和网页防同马监控状态

UDiskAccess u盘病毒监控状态

步骤二：命令行下控制360注册表监控

知道了上面的原理，就可以打造过360安全卫士实时保护的木马了。

首先，将360安全卫士实时保护功能全部关闭，然后右键点击注册表[HKEY_LOCAL_MACHINE\SOFTWARE\360safe\safemon]项目，在弹出菜单中选择“导出”命令360安全卫士，将当前360安全卫士状态对应的注册表项导出，保存为名为“360.reg”的注册表文件。再重新开启360安全卫士的实时保护。

点击“开始”菜单→“运行”，输入命令“CMD”，回车后打开命令提示符窗口。进入导出注册表文件所在文件夹，执行如下命令：

regedit/s 360.reg

命令执行后，将保存的注册表文件导入注册表中，此时再查看360安全卫士的实时保护状态，可以发现所有的监控保护项目状态都变成了“关闭”。

步骤三：制作过360实时保护的木马

现在可以开始制作360安全卫士实时保护的木马了，首先生成上兴木马服务端程序，假设文件名为“muma.exe”。然后打开记事本程序，撰写如下文件内容：

regedit/s 360.reg

muma.exe

将文件保存为文件名为“muma.bat”的批处理文件。将“muma.exe”、“360.req”和“muma.bat”放在同一个文件夹中，用WinRAR制作一个自解压的压缩包程序。在自解压命令行中设置解压路径，并设置“解压后运行”为“muma.bat”。确定后360安全卫士360安全卫士，即可生成一个可自动突破360安全卫士实时监控的木马服务端程序了。

现在运行生成的木马自解压文件，可以看到360安全卫士的实时保护立刻被关闭了，木马也成功的运行了。