分享一種可關閉大多數殺軟的技術

最新 06-01

聲明：本文由expsky@MS509Team原創，僅用於技術交流分享，禁止將相關技術應用到不當途徑。

木馬與殺軟的對抗從未停止，這樣的對抗客觀上也促進了安全技術的進步與發展。病毒、木馬除了本身的功能以外，最重要一部分就是與殺軟的對抗，這也是技術難點所在。試想一下如果在一台沒裝殺軟的電腦上，病毒木馬不需要什麼注入、白加黑、rootkit技術來隱藏進程，不需要用什麼高深未公開的方式來實現自啟動，不需要精心構造隱秘通道實現C&C通信，不需要加密混淆來躲避靜態查殺，也不用擔心調用了跨進程內存讀寫或者註冊表敏感位置讀寫、磁碟扇區讀寫、驅動載入等被殺軟主防列為的危險API…….只需一個十多年前的簡單木馬就可以為所欲為。

關閉殺軟，是病毒木馬追求的最理想狀態，但能做到這點只有極少數的特種木馬或rootkit型木馬能辦到，絕大部分木馬也只是通過各種技術手段來繞過殺軟的部分功能，少有聽說能關掉殺軟的木馬。

真有能關掉殺軟的技術手段嗎？

原理思路

我們嘗試用模擬真實用戶的操作，來關閉殺軟。這裡用360安全衛士目前最新版作為實驗對象。是否能成功，我們一起往下看。

（聲明：本人並不刻意針對360，而正是認可360在國內安全行業具有的代表性，並且該技術思路可以適用於其餘絕大部分殺軟）

要模擬真實用戶關閉360安全衛士的流程如下：

1）滑鼠右鍵點擊桌面右下角360衛士的系統托盤圖標

2）在彈出的托盤菜單中點擊【退出】按鈕

3）在彈出的360衛士退出窗口中點擊【繼續退出】按鈕

完成以上步驟後360安全衛士就會被關閉。

接下來就是如何用程序自動模擬完成這些動作。

技術實現

點擊相關窗口的按鈕是通過對應的窗口類名得到相應的窗口句柄，然後實現點擊。

通過「彗星小助手」的窗口SPY功能可以找出需要的窗口類名，而通過窗口類名找出窗口句柄是常規windows編程的知識，本文就不再累述

這裡需要注意的是，系統360衛士托盤圖標可能直接顯示在桌面右下角的系統托盤上，也可能在隱藏的系統托盤區域。兩種情況都需要考慮到

系統托盤的窗口類

Shell_TrayWnd >> TrayNotifyWnd >> ToolbarWindow32 通過這樣的窗口關係找出系統托盤

而隱藏區域的系統托盤窗口類名是NotifyIconOverflowWindow

360衛士托盤菜單窗口類名：Q360TrayMenuClass

360衛士退出窗口類名：Q360HIPSClass

到此就可以定位到所有需要的窗口，我們還需要定位到窗口上的兩個【退出】按鈕

這裡需要注意的是，按鈕實際上也是一個子窗口，普通的windows按鈕通過彗星小助手可以直接定位識別，但現在很多軟體包括這裡的360衛士，按鈕都是自繪出來的，不是傳統的按鈕控制項，不能直接識別。不過也有辦法，因為【退出】按鈕相對於父窗口的位置是固定，通過父窗口的位置與【退出】按鈕的相對位置，就可以分別定位到兩個需要點擊的【退出】按鈕，模擬滑鼠點擊就可以自動關閉360安全衛士

定位360衛士托盤菜單的【退出】按鈕位置：

x坐標 = 托盤菜單的x坐標 + 托盤菜單的寬度（260）- 20

y坐標 = 托盤菜單的y坐標 + 托盤菜單的高度（560）- 10

說明：-20和-10 即為【退出】按鈕相對窗口右下角的位置

定位360衛士退出窗口上的【繼續退出】按鈕位置：

x坐標= 360退出窗口x坐標 + 360退出窗口的寬度（600）- 120

y坐標= 360退出窗口y坐標 + 360退出窗口的高度（400）- 40

說明：-120和-40 即為【繼續退出】按鈕相對窗口右下角的位置

真實演示

「空談誤國，實幹興邦」，理論講得再好，實現不了還是等於零。所以按照上面的技術思路我實現了一個演示工具，成功關閉了360衛士。大概1秒鐘左右360安全衛士就被關閉了。