近日無事研究怎麼幹掉360殺毒,呵呵,真的純粹是爲了興趣
普通的任務管理器裏,無法幹掉360殺毒的進程,OpenProcess()操作提示 “拒絕訪問”,看來肯定是用驅動做了保護程序。
於是找出以前寫的一個驅動,改造了一下(一個多星期。。。。。),終於能把360殺毒的兩個進程幹掉了
不過過了一會360殺毒的主服務程序竟然自己起來了,看來它肯定還遠程hook了一個進程來實現對自己的監視,發現被殺就會再啓動服務。
找了一下,發現應該是hook的services.exe來作爲宿主進程。 這個進程也沒法隨便幹掉啊。。。。
目前看來除了在ring 0 級 hook CreateProcess 這些函數外 ,就是開一個自己的監視線程,發現360殺毒開啓了就再幹掉。。。