关于对国内360杀毒的一点原理剖析（看法）

前言

在这之前本来应该发布一篇关于FS寄存器以及PE结构、用汇编解析部分PE结构如导出表，而绕过LoadLibaray和GetProcAdress等函数。（因为kernel32.dll和ntdll.dll几乎全进程都有）。

但是最后发现主流杀毒虽然在R3Hook了函数，但并没有HOOK LoadlibraryW...和GetProcAdress等函数。

正题开始

但此次也并非全无收获，此次以为国内普通消费用户人数占比较多的360杀毒为例

ps：本次关于360系列软件的的剖析仅作为技术交流使用，本博客也仅作技术交流。一切使用相关类似技术损害该软件相关利益的行为均与本人无关。

R0 回调分析

从图中我们可以看到，x60可以的，这么多个驱动，内核回调基本操作，线程，进程，模块。除了监控加载启动等与执行流程相关的实体，还可以做到阻断，不过这都基本操作了。

文件过滤

可以看到x60挂了超多的回调类型，看来在文件上监控了很多操作。这也反应了网友说的，360主文件查杀的佐证。应该是对文件做了很多操作过滤和监控。

对象回调

对象回调主要集中在进程线程，额。。。那应该只是做一些权限过滤什么的。还有保护进程什么的操作了。

似乎只是中规中矩。对象回调可以做很多文章的。有点失望。

R3 HOOK

这里有意思的来了，我们的x60仅仅对Explorer.exe挂钩，挂钩的API也可以发现，主要是监控explorer启动的各种进程实例的函数。这个很好理解，因为绝大多数进程都是由explorer启动的。

但是，问题就是这少数了。只有那些别有用心的进程才会使用一些启动器等特殊手段。而且恰恰我们的x60没有对其他进程做hook。如果内核没有Infihook的话，其实除了文件扫描。就没有什么手段了。也就是可以理解为，在R3我们甚至都不需要使用Shadowapi等这些关于内存的操作。仅仅让他文件特征扫不出来，就可以在R3这里过第一关。

至于R0的这几个手段，其实但凡进入到R0可以轻易patch。

总结

x60杀毒整体是以文件查杀和特征作为核心，其他组件围绕他工作来实现保护我们的电脑。

但是由于X64系统 patchguard的存在，在内核层手段十分有限，对于对抗内存马或者套娃使用白加黑等方式时，该杀毒几乎为无防状态。当然似乎这也是当前百不存一这剩下的一些恶意软件的玩法。

现在的杀毒大多数都还是围绕恶意的行为和文件特征来进行，但是恶意行为除了特征十分明显的意外，大多数无法分分辨。反而近几年各种手杀ark程序层出不穷，稍微会一点的杀毒基本还是没办法，稍微会一点的，也开始用各种手杀程序排除。