文档介绍:突破 360 安全卫士限制放木马 360 安全卫士现在几乎成了装机必备的工具, 360 安全卫士其实本来只是一款清除流氓软件的工具,可是由于集成了实时防护和简单的木马扫描功能,因此被许多没有正版杀毒软件的用户当成了救命的稻草。其实 360 安全卫士的反木马功能是非常弱的, 根本无法和真正的杀毒软件相比。不过许多黑菜们在入侵的过程中,却常常碰到因为目标主机上安装了 360 安全卫士,因此木马被查杀。往往都是可免杀过杀毒软件, 但是却不能过 360 安全卫士——看来, 免杀过 360 安全卫士的方法,还是有必要为大家介绍一下的。文件名伪装,突破 360 “慧眼”首先, 来看看 360 安全卫士扫描流氓软件与木马的原理。这里作一个小测试, 我们将系统目录“ C:\WINDOWS ”下的记事本程序“ ”修改文件名,将其改为“ ”。然后用 360 安全卫士进行扫描,可以看到这个本来是正常的记事本程序文件,仅仅是修改了一下文件名,就变成了一个“伪 Honey 木马下载器”。由这个实验可以推断, 360 安全卫士在对文件进行扫描时, 是通过文件名及文件系统描述进行差别的。正常的文件修改文件名后, 会变成木马; 同样的, 木马修改文件名后, 也可以变成正常文件,被 360 安全卫士视而不见。如何才能对木马程序生成的木马服务端进行伪装呢? 以“上兴远程控制 ”为例进行介绍: 打开上兴远程控制木马生成对话框,在“安装名称”中,将木马释放后的安装文件名设置为“ ”,将“安装路径”设置为“ Windows 目录”;在下方的“服务名称”中设置木马服务名为“ 360tray ”,“服务显示名”也设置为“ 360tray ”,最后“描述信息”设置为“ 360 安全卫士实时保护模块”。其它设置项可根据情况设置,点击“生成”按钮,即可生成一个上兴远程控制木马服务端程序。现在运行刚才生成的木马服务端, 将会在 Windows 目录下释放名为“ ”的文件, 并安装为伪装的“ 360tray ”服务随系统启动运行。然而在木马运行安装的过程中, 360 安全卫士不会弹出任何提示信息, 并且 360 安全卫士也扫描系统时, 也根本扫描不到上兴木马。提示: 对于一些无法设置服务端释放文件的木马程序,如 PCShare 之类的, 可以通过“ Restorator v2006 ”等资源修改工具,将木马程序中的服务端导出,免杀后修改文件名字,再重新导回木马生成程序中。用正常方法即可生成对 360 安全卫士免杀的木马服务端程序了。实时保护,自身难保上面的方法虽然实现了木马对 360 安全卫士的免杀, 但是对某些木马程序来说, 可能无法突破 360 安全卫士的实时保护功能,因此再介绍一个对所有木马都 100% 灵验的过 360 安全卫士的方法。首先,在本机上开启 360 安全卫士的主动防护功能。然后运行“上兴远程控制 ”,使用默认的设置, 生成一个木马服务端程序。运行木马服务端程序, 可以看到木马在添加启动服务项目时,被 360 安全卫士拦截到了。虽然 360 安全卫士的拦截反应非常慢, 但也还是对木马报警了,如何突破 360 安全卫士的主动实时保护功能呢? 下面就以上兴远程控制 417 为