对360安全卫士自我保护的简单研究.doc

2009-09-1216:35由于360安全卫士的自我保护功能监控了的映像劫持注册表项导致某批处理一直运行失败,排查半天才找出是360搞的鬼,至于360是什么时候加入此功能还不清楚。下面详细记录一下解决过程,很多时候过程比结果更重要。故障现象运行某批处理,由于此批处理会向注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions写入项和键值。运行之后查找此项,里面只有项但是没有键值,很奇怪的现象。多次尝试和手动输入均无效,无论编辑或者是创建均出错,但没有提示是因为权限的原因。更为奇怪的是除此项之外的其他注册表项目均不存在这些问题,用冰刃都无法编辑相关项,错误情况见下图:,因为如果是病毒造成的,那么注册表编辑器肯定无法打开,而不是某项无法编辑。以为是用户权限有问题(因为前段时间才给管理员改过名字),开始重新设置权限。无论是继承父项或是不继承的设置均无效,甚至把所有用户删除后重新添加设置权限,仍然没有效果。有网友建议改回原来的账户名字,依然无效。。抱着用注册表直接合并的办法试一试,看能否成功写入键值。结果出现了一个有趣的错误提示:提示:系统或其他进程正在开某些项,难道是某些进程监控了此项?马上进入安全模式验证是不是这个原因,结果在安全模式下可以编辑,修改和创建键值和项,这个时候完全可以证明不是权限设置的问题。那么只能是某些软件监控此项造成的。,而且系统也不可能监控一个注册表项。电脑上装了3个带监控的安全软件:微点主动防御软件,360安全卫士,内测版微点杀毒软件。360没有开启监控,而微点杀软因为微点主动防御软件的原因无法开启监控,难道是微点?有网友建议卸载微点试试,不过我并不认同微点会监控此项,因为微点因为自身原理的原因对注册表的监控一直都不是很完善。换了一种办法验证是不是微点造成的此问题。关闭了微点的所有相关服务之后注册表项还是无法编辑,证明不是微点造成此问题的。,由于2者都未开启监控。进程里面也没有,那么现在就只能查找它们插入系统进程的模块了。硬着头皮用微点查找这个2个软件插入进程的驱动和DLL文件。首先说说微点杀软:一共6个文件插入系统进程,,而此进程是用于微点杀软自动升级的,用于没有开启微点杀软的监控,这个进程完全可以结束,结束之后注册表还是无法正常的编辑和创建。(桌面进程),,,,:---,并且其插入了System进程解