Win64位Ring3下强制结束360（无视主动防御和自我保护）

64位下强制结束360杀毒和360卫士进程。

无视主动防御和自我保护。

之前有个朋友提交过一个64位卸载360的。我这个实现起来的思路和他的不一样。

所以还是提交了。

我实现的方法是:

1.利用360安全防护中心模块做外壳，创建一个傀儡进程。然后傀儡带参数(“ /disablesp 1”)运行360tray.exe文件，这样就会弹出360关闭自我保护的对话框。至于为啥要用360自己的文件做傀儡.是因为带上参数(“ /disablesp 1”)后，直接去运行360tray.exe会被360的进程防护模块会直接拦截掉。而用360自己文件做傀儡就能绕过了

------------------------------------------------------

2.当关闭自我保护的对话框成功弹出后，程序后台找图，取得确定按钮的屏幕坐标。然后模拟鼠标单击确定按钮。

------------------------------------------------------

3.现在360的自我保护已经从有到无了。直接调用系统文件taskkill.exe就能将360所有进程杀掉，包括zhudongfangyu.exe

附上demo下载链接:

http://**.**.**.**/s/1o6BgmgU

http://**.**.**.**/wp-content/uploads/2014/09/kill360.zip

(解压密码:123)

附上演示视频下载链接:http://**.**.**.**/s/1ntDkjwP

（演示视频是我开源的时候录的，大家将就着看。）

关于傀儡进程:http://**.**.**.**/showthread.php?p=1171054

你们更专业。

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-12-25 13:48

厂商回复：

360安全卫士的云主防和自我保护对模拟/消息方式操纵安全卫士组件（包括卸载程序）都有完整防护。

经我们测试，白帽子报告的相关方法是可以拦截的。

在X64操作系统上，360安全卫士的主动防御需要开启“核晶引擎”后才能提供完整防护能力（需要CPU的VT支持）。

此报告同今年4月的报告：http:///bugs/wooyun-2014- 是相同的，白帽子可参考一下。

最新状态：

暂无

1. 2014-09-29 13:47 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

   6

   win100位下，360无法启动

   1# 回复此人

2. 2014-09-29 13:49 | chock ( 普通白帽子 | Rank:156 漏洞数:33 | 若你喜欢怪人)

   0

   我很想知道，快点告诉我！！！！！！！！！！挖掘机技术到底哪家强

   2# 回复此人

3. 2014-09-29 14:11 | 浮萍 ( 普通白帽子 | Rank:1077 漏洞数:217 )

   0

   你好，此漏洞已在360安全应急响应中心提交过。

   3# 回复此人

4. 2014-09-29 14:19 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐，我猥琐故我强大)

   0

   @MJ0011

   4# 回复此人

5. 2014-09-29 14:28 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

   0

   @chock 山东济南找蓝翔！

   5# 回复此人

6. 2014-09-29 14:30 | ki11y0u ( 普通白帽子 | Rank:140 漏洞数:28 | 好好学习，求带飞 ~~~~~~~~~~~~~~~~~~~~~~...)

   0

   蓝翔，威。。。。。。。武

   6# 回复此人

7. 2014-09-29 15:08 | phith0n ( 普通白帽子 | Rank:834 漏洞数:127 | 一个想当文人的黑客~)

   0

   收藏此类漏洞~

   7# 回复此人

8. 2014-09-29 15:17 | 小小泥娃 ( 路人 | Rank:20 漏洞数:4 | 高二)

   0

   前排

   8# 回复此人

9. 2014-09-29 15:24 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

   1

   WooYun: 未经用户许可以及自身保护前提下可卸载360安全卫士

   9# 回复此人

10. 2014-09-29 15:38 | 木马游民 ( 路人 | Rank:21 漏洞数:9 )

    0

    我不晓得100个64位的360用户中有几个开了屌晶引擎。 以后64位上写木马能过扫描就行了，只要一跑起来。分分钟先把你丫卸了、

    10# 回复此人

11. 2014-09-29 15:45 | Ano_Tom ( 普通白帽子 | Rank:474 漏洞数:47 | Talk is cheap.:)

    0

    我只想问一下，挖掘机技术到底哪家强？@奇虎360

    11# 回复此人

12. 2014-09-29 15:54 | 假马 ( 普通白帽子 | Rank:142 漏洞数:18 | 我存在,你婶婶的脑海里.)

    0

    @Ano_Tom 山东济南找刘翔！

    12# 回复此人

13. 2014-09-29 17:21 | 1c3z ( 普通白帽子 | Rank:307 漏洞数:64 | @)!^)

    0

    骗我，根本没有公开！！1

    13# 回复此人

14. 2014-09-29 21:21 | 木马游民 ( 路人 | Rank:21 漏洞数:9 )

    1

    WooYun: 绕过360核晶引擎再次强制结束360进程(x64) 再忽略我就无语鸟

    14# 回复此人

15. 2014-09-29 22:40 | 依恋安静 ( 路人 | Rank:4 漏洞数:4 | 渗透师)

    0

    好屌的样子

    15# 回复此人

16. 2014-09-30 13:41 | dgdg ( 路人 | Rank:9 漏洞数:5 | 乌云币:10000)

    0

    @木马游民 哈哈 赤裸裸的打脸

    16# 回复此人