注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

★ ★ ★ 卡多 - K.D

DELPHI

 
 
 

日志

 
 

对360安全卫士自我保护的简单研究  

2011-01-05 14:46:01|  分类: ‖ 杂文 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

由于360安全卫士的自我保护功能监控了的映像劫持注册表项导致某批处理一直运行失败,排查半天才找出是360搞的鬼,至于360是什么时候加入此功能还不清楚。下面详细记录一下解决过程,很多时候过程比结果更重要。

故障现象

运行某批处理,由于此批处理会向注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options写入项和键值。运行之后查找此项,里面只有项但是没有键值,很奇怪的现象。多次尝试和手动输入均无效,无论编辑或者是创建均出错,但没有提示是因为权限的原因。更为奇怪的是除此项之外的其他注册表项目均不存在这些问题,用冰刃都无法编辑相关项,错误情况见下图:

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

摸索过程

1.首先排除了病毒锁定注册表的原因,因为如果是病毒造成的,那么注册表编辑器肯定无法打开,而不是某项无法编辑。以为是用户权限有问题(因为前段时间才给管理员改过名字),开始重新设置权限。无论是继承父项或是不继承的设置均无效,甚至把所有用户删除后重新添加设置权限,仍然没有效果。有网友建议改回原来的账户名字,依然无效。

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

解决问题转折点

2.这时仍然无法排除是权限设置不正确导致的问题。抱着用注册表直接合并的办法试一试,看能否成功写入键值。结果出现了一个有趣的错误提示:

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

提示:系统或其他进程正在开某些项,难道是某些进程监控了此项?马上进入安全模式验证是不是这个原因,结果在安全模式下可以编辑,修改和创建键值和项,这个时候完全可以证明不是权限设置的问题。那么只能是某些软件监控此项造成的。

3.平时系统关闭了自带的防火墙,而且系统也不可能监控一个注册表项。电脑上装了3个带监控的安全软件:微点主动防御软件,360安全卫士,内测版微点杀毒软件。360没有开启监控,而微点杀软因为微点主动防御软件的原因无法开启监控,难道是微点?有网友建议卸载微点试试,不过我并不认同微点会监控此项,因为微点因为自身原理的原因对注册表的监控一直都不是很完善。换了一种办法验证是不是微点造成的此问题。关闭了微点的所有相关服务之后注册表项还是无法编辑,证明不是微点造成此问题的。

4.剩下就是微点杀软和360安全卫士了,由于2者都未开启监控。进程里面也没有,那么现在就只能查找它们插入系统进程的模块了。硬着头皮用微点查找这个2个软件插入进程的驱动和DLL文件。首先说说微点杀软:一共6个文件插入系统进程,其中4个DLL插入Mpdserver.exe进程,而此进程是用于微点杀软自动升级的,用于没有开启微点杀软的监控,这个进程完全可以结束,结束之后注册表还是无法正常的编辑和创建。另外2个文件一个插入Explorer.exe(桌面进程),另外一个插入system进程.结束桌面进程之后,问题依旧.而system进程为系统核心进程,无法结束.进入安全模式备份此文件后然后删除此文件之后,问题依旧.

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

5.最后锁定造成此问题的是360安全卫士.从360众多的插入模块中找到一个最可疑的驱动:

360selfprotection.sys---360安全卫士自我保护的驱动文件.打开Autoruns中能发现它启动的痕迹,并且其插入了System进程

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

解决办法

难道是360自我保护造成的?想一想其实很有可能,因为监控这项就是为了防止病毒写入禁止360运行的项和键值.打开360关闭自我保护,见下图:

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

临时关闭自我保护后,相关的注册表项可以正常操作.但是问题并未完满解决.因为这个操作只能临时关闭360的自我保护,不能长期关闭.如果每次都要这样操作一次很麻烦,找个一劳永逸的办法吧.

360安全卫士自我保护永久关闭的办法(此方法慎用)

网上大多数永久关闭自我保护的办法都是只能卸载360,不过360我还是要用的,要是卸载了就没意思了。想了想办法,想用Autoruns禁止其启动,不过这个强大的微软工具也没帮上忙,设置之后依然正常启动.既然是驱动那么完全可以用SRENG设置其启动方式,设置成Disable之后重启电脑,此驱动正常启动,后来发现原因很简单,这个文件的启动类型为System Start,也就是说通过System进程的系统权限进行启动,系统之中此权限高过管理员权限,当然这些设置是没有效果的.

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

只有最后一个办法了,删除这个360selfprotection.sys文件.搜索了一下,在2个路径下有这个文件:

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

进入安全模式备份这2个文件,然后删除这2个文件之后重启到正常模式,开启360发现自我保护已被关闭,开启此保护会出现错误提示:


对360安全卫士自我保护的简单研究 - 卡多℡[K.D] - ♂-卡多の博客℡- K.D

如果想恢复360的自我保护,将备份的文件放到原位置重启电脑即可。至此问题圆满解决.

  评论这张
 
阅读(287)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017