【红队利器】单文件一键Kill360

文章前言

在安全研究和渗透测试过程中，国内杀毒软件（如 360 安全卫士、360 杀毒）通常会成为绕过的主要障碍。360 系列产品具有强大的自保护机制。为了研究 360 的自保护机制，以及探讨如何在实际攻防场景中绕过安全软件干扰，本研究设计了一种单文件解决方案，旨在一键终止 360 的核心组件，使其无法继续运行。

效果演示

在 360 防护模块火力全开的情况下，实现一键轻松终结 360 防护核心组件，彻底绕过其自保护机制，并有效阻止其后续运行。

详细信息

通过研究360的进程管理和自我保护机制，发现其可能存在的薄弱环节，并设计出快速终止关键进程的方法。此技术仅限于实验室测试、内部安全评估或红队演练，严禁用于非法用途。希望借此为安全产品优化提供参考，并提醒防御方关注相关风险。启动一个服务众所周知，svchost.exe作为白名单进程，具备较高的信任级别。因此，如果我们希望终结 360 的核心组件，首先需要拿到一个svchost进程ID，而进程列表中的svchost服务往往是非常重要的系统服务，因此为了程序稳定性，我们决定创建一个 svchost 进程。然而，这里存在一个关键问题：正常情况下，手动创建服务进程往往会被 360 拦截，导致无法顺利执行。那么，如果无法直接创建新的服务进程，我们是否可以遍历系统中的服务，找到一个未启动的服务并将其启动，然后获取其进程 ID，以此来绕过 360 的拦截呢？

多种注入方式在成功启动服务并获取svchost.exe进程 ID 之后，接下来的关键步骤是将用于终结 360 进程的 shellcode 注入到 svchost.exe中。然而，传统的注入方法（如 OpenProcess + VirtualAllocEx + WriteProcessMemory + CreateRemoteThread）由于 360 对 svchost.exe 进程实施了严格的防护，几乎无法奏效。因此，我们选择了两种非常规且冷门的注入手段进行结合。为了最大限度降低被 360 发现的风险，我们甚至完全避开了 WriteProcessMemory 直接写入目标进程的方式。使得 shellcode 能够在svchost.exe进程中成功执行，从而实现无声无息地终结 360 的防护组件。

shellcode编写shellcode则是使用我们前期文章《自研shellcode引擎》中所开发的shellcode引擎进行生成，体积足够小，因此最终生成的可执行程序也仅有200kb。

突破自我保护机制360 在防止恶意代码注入方面部署了多重防护机制，包括用户态的行为检测与内核级的进程保护，使得常规的注入手段（如远程线程创建、进程内存写入等）难以奏效。然而，我们使用前述方法成功绕过了360 的常规检测与内核保护，在svchost.exe进程中完成了代码植入。由于svchost.exe本身属于白名单进程，一旦注入成功，我们便能够借助其高权限终结360 的核心服务组件，最终实现无提示地彻底关闭 360 杀软，达到绕过防护的目的。

项目获取

🔒完整的项目代码已上传内部圈子🔒

目前团队已经开通知识圈子，圈子内部会不定期发布前沿的红蓝对抗技巧、免杀系列内容，同时还会不定期开放关于逆向学习相关课程和课件。除此之外圈子也作为一个平台，为大家创建一个技术交流的渠道，欢迎有兴趣的伙伴、也欢迎希望找到同频人的伙伴加入圈子。

👇微信扫一扫下方二维码快速加入圈子👇

✅ 一键kill360✅远程PEloader✅自研shellcode引擎✅一键Kill火绒✅IIS内存马✅单文件持久化✅反沙箱技术✅进程断网技术✅ BYOVD驱动利用

🚨 还有更多实战资源！！！期待您的加入！！！

关于我们

4SecNet 团队专注于网络安全攻防研究，目前团队成员分布在国内多家顶级安全厂商的核心部门，包括安全研究领域、攻防实验室等，汇聚了行业内的顶尖技术力量。团队在病毒木马逆向分析、APT 追踪、破解技术、漏洞分析、红队工具开发等多个领域积累了深厚经验，并持续在复杂威胁对抗和攻防技术创新方面不断探索与突破。4SecNet 致力于通过技术共享与实践推动网络安全生态的持续进步。

免责条款

本文的内容仅用于学习、交流和技术探讨，旨在传播网络安全知识，提高公众的安全意识。本博客不支持、提倡或参与任何形式的非法活动。本博客内容面向具备合法使用目的的读者，请确保在使用博客中涉及的技术或方法时符合《中华人民共和国网络安全法》等相关法律法规的要求。任何人不得将本博客内容用于破坏网络安全、侵入系统或其他违反法律的活动。