VC驿站

 找回密码
 加入驿站

QQ登录

只需一步,快速开始

搜索
查看: 1412|回复: 9

[求助] win7 如何干掉360手机助手

[复制链接]
47_avatar_middle
在线会员 发表于 2015-9-24 16:30:43 | 显示全部楼层 |阅读模式
3驿站币
         如题,360手机助手在win8下用程序可以直接杀掉,但是win7 就杀不到,有没有什么方法可以在win7 也能杀掉的而避开360 的,以前syc 老大有份远程注入的代码,现在找不到了
如果在他的进程里面注入我的程序,然后在我们程序里面退出进程,是不是可以达到杀掉360手机助手的目的,或者其他道友还有什么好方法的





上一篇:学习COM只需要看《COM原理与应用》就行吗?
下一篇:键盘记录如何记录QQ密码或者阿里旺旺卖家版的密码,表示纯心学习 不是非法运作
92_avatar_middle
online_vip 发表于 2015-9-25 08:08:44 | 显示全部楼层
看起来很高深的样子!
47_avatar_middle
ico_lz  楼主| 发表于 2015-9-25 14:52:31 | 显示全部楼层
关键在WIN7 里面,任务管理器能直接结束360手机助手进程,程序结束进程就提示拒绝访问,和任务管理器有多大区别
84_avatar_middle
在线会员 发表于 2015-9-26 13:53:24 | 显示全部楼层
注入远程线程, 远程线程入口函数就是360发送PostMessage退出
47_avatar_middle
ico_lz  楼主| 发表于 2015-9-28 13:20:41 | 显示全部楼层
没得屌用,我以为是代码问题,后来发现只有360不能申请远程内存,其他进程都可以,也就是说360屏蔽了这块,估计还包括hook之类的, 一句话,该死的360搞不了
39_avatar_middle
online_vip 发表于 2015-10-5 13:38:49 | 显示全部楼层
softcheng 发表于 2015-9-28 13:20
没得屌用,我以为是代码问题,后来发现只有360不能申请远程内存,其他进程都可以,也就是说360屏蔽了这块, ...

搞自然是可以搞的,所谓的不能申请远程内存,不过是360拥有自我保护而已。360的进程自我保护来自内核层,如果在32位系统则是KiFastCallEntry的InlineHook,如果在64位系统就是ObjectHook。只要拆掉了360的内核保护,他也就没啥了。发送消息对于Win7是没有用的,因为Win7依然允许ShadowSSDT的Hook,所以你的退出消息360是收不到的
39_avatar_middle
online_vip 发表于 2015-10-5 13:46:45 | 显示全部楼层
softcheng 发表于 2015-9-28 13:20
没得屌用,我以为是代码问题,后来发现只有360不能申请远程内存,其他进程都可以,也就是说360屏蔽了这块, ...

哦,刚看了下,我虚拟机里面那个版本的360貌似没有使用Shadow SSDT Hook,所以这种的可以用消息洪水的方法杀了他
08_avatar_middle
在线会员 发表于 2015-10-12 21:00:20 | 显示全部楼层
看起来很高深的样子!#在这里快速回复#
46_avatar_middle
在线会员 发表于 2016-4-17 16:27:51 | 显示全部楼层
360的进程自我保护来自内核层
65_avatar_middle
在线会员 发表于 2016-4-27 23:17:52 | 显示全部楼层
猥琐办法,以下是代码
void DestoryProcessWithZero( PEPROCESS eprocess )
{
        ULONG virtualAddr = 0;
        PVOID handle = NULL;
        NTSTATUS ntStatus = STATUS_SUCCESS;
       
        KeAttachProcess((PEPROCESS)eprocess);  //Attach进程虚拟空间
        for( virtualAddr; virtualAddr <= 0x7fffffff; virtualAddr += 0x100 )
        {  
                //蓝屏原因:用户内存是否可写要进行验证。用ProbeForWrite函数
                if( MmIsAddressValid( (PVOID)virtualAddr ) )
                {
                        _try
                        {
                                ProbeForWrite( ( PVOID )virtualAddr, 0x100, 4 );
                                RtlZeroMemory( ( PVOID )virtualAddr, 0x100 );
                        }
                        _except(1)
                        {
                                continue;  
                        }
                }
        }
        KeDetachProcess();
}
您需要登录后才可以回帖 登录 | 加入驿站 qq_login

本版积分规则

关闭

站长提醒上一条 /2 下一条

QQ|小黑屋|手机版|VC驿站 ( 辽ICP备09019393号tongdun|网站地图wx_jqr

GMT+8, 2019-5-23 03:52

Powered by Discuz! X3.4

© 2009-2019 cctry.com

快速回复 返回顶部 返回列表