360安全卫士免杀

2024年3月22日发(作者：)

突破360安全卫士限制放木马 360安全卫士现在几乎成了装机必备的工具，360安

全卫士其实本来只是一款清除流氓软件的工具，可是由于集成了实时防护和简单的木马扫

描功能，因此被许多没有正版杀毒软件的用户当成了救命的稻草。

其实360安全卫士的反木马功能是非常弱的，根本无法和真正的杀毒软件相比。不过

许多黑菜们在入侵的过程中，却常常碰到因为目标主机上安装了360安全卫士，因此木马

被查杀。往往都是可免杀过杀毒软件，但是却不能过360安全卫士——看来，免杀过360

安全卫士的方法，还是有必要为大家介绍一下的。

文件名伪装，突破360“慧眼”

首先，来看看360安全卫士扫描流氓软件与木马的原理。这里作一个小测试，我们将

系统目录“C:WINDOWS”下的记事本程序“”修改文件名，将其改为

“”。然后用360安全卫士进行扫描，可以看到这个本来是正常的记事本程序

文件，仅仅是修改了一下文件名，就变成了一个“伪Honey木马下载器”。

由这个实验可以推断，360安全卫士在对文件进行扫描时，是通过文件名及文件系统

描述进行差别的。正常的文件修改文件名后，会变成木马；同样的，木马修改文件名后，

也可以变成正常文件，被360安全卫士视而不见。如何才能对木马程序生成的木马服务端

进行伪装呢?以“上兴远程控制v4.7”为例进行介绍：

打开上兴远程控制木马生成对话框，在“安装名称”中，将木马释放后的安装文件名

设置为“”，将“安装路径”设置为“Windows目录”；在下方的“服务名

称”中设置木马服务名为“360tray”， “服务显示名”也设置为“360tray”，最后

“描述信息”设置为“360安全卫士实时保护模块”。其它设置项可根据情况设置，点击

“生成”按钮，即可生成一个上兴远程控制木马服务端程序。

现在运行刚才生成的木马服务端，将会在Windows目录下释放名为“”

的文件，并安装为伪装的“360tray”服务随系统启动运行。然而在木马运行安装的过程中，

360安全卫士不会弹出任何提示信息，并且360安全卫士也扫描系统时，也根本扫描不到

上兴木马。

提示：

对于一些无法设置服务端释放文件的木马程序，如PCShare之类的，可以通过

“Restorator v2006”等资源修改工具，将木马程序中的服务端导出，免杀后修改文件名

字，再重新导回木马生成程序中。用正常方法即可生成对360安全卫士免杀的木马服务端

程序了。

实时保护，自身难保

上面的方法虽然实现了木马对360安全卫士的免杀，但是对某些木马程序来说，可能

无法突破360安全卫士的实时保护功能，因此再介绍一个对所有木马都100%灵验的过

360安全卫士的方法。

首先，在本机上开启360安全卫士的主动防护功能。然后运行“上兴远程控制v4.7”，

使用默认的设置，生成一个木马服务端程序。运行木马服务端程序，可以看到木马在添加

启动服务项目时，被360安全卫士拦截到了。虽然360安全卫士的拦截反应非常慢，但也

还是对木马报警了，如何突破360安全卫士的主动实时保护功能呢?下面就以上兴远程控

制417为例，讲解一种简单有效的方法。