360后门事件 这个后门指的是什么

360后门事件 这个后门指的是什么

[编辑本段]360安全卫士“后门”细节分析360安全卫士后门程序涉及的主要文件是：在安装进入系统时自带的驱动文件bregdrv.sys、bfsdrv.sys，以及对这两个驱动文件调用的动态链接库bregdll.dll、bfsdll.dll。

bregdrv.sys：360内核模式驱动，该驱动程序通过调用操作系统的未公开CmXxx系列函数来操作注册表，另外由于操作系统内部本身维护了很多同步数据、缓存数据，直接调用CmXxx系列函数操作注册表极有可能造成系统内部数据不同步，严重影响系统安全性，甚至可能导致用户正常数据丢失； 360后门部分功能代码截图一

bregdll.dll：用户态动态库，该动态库封装了对bregdrv.sys的调用，为用户态程序提供注册表操作后门的接口；该动态库仿照Windows操作系统API接口（加B作为前缀）导出了如下注册表操作函数，但与WindowsAPI不同的是，bregdll.dll导出的函数在实现上绕过了操作系统的所有安全检查，直接调用极为低层的未公开CmXxx系列函数实现：1.BRegCloseKey 2.BRegCreateKey3.BRegCreateKeyEx4.BRegCreateKeyExW

5.BRegCreateKeyW 6.BRegDeleteKey7.BRegDeleteKeyW8.BRegDeleteValue

9.BRegDeleteValueW 10.BRegEnumKey11.BRegEnumKeyEx12.BRegEnumKeyExW

13.BRegEnumKeyW 14.BRegEnumValue15.BRegEnumValueW16.BRegOpenKey

17.BRegOpenKeyEx 18.BRegOpenKeyExW19.BRegOpenKeyW20.BRegQueryValueEx

21.BRegQueryValueExW22.BRegSetValueEx23.BRegSetValueExW

bfsdrv.sys，该驱动程序通过直接向文件系统发送I/O请求包（IRP）来实现文件操作，这种方式可以绕过基于过滤驱动的文件监控（包括卡巴斯基、诺顿等安全软件）。由于该程序没有对调用者进行检查，导致可以被任意程序（如各种木马程序等）利用达到修改、删除用户正常文件的目的。

bfsdll.dll：用户态动态库，该动态库封装了对bfsdrv.sys的调用，为用户态程序提供文件操作后门的接口；该动态库仿照Windows操作系统API接口（加FS或Bfs作为前缀）导出了如下文件操作函数，但与WindowsAPI不同的是，bfsdll.dll导出的函数在实现上绕过了所有文件系统上层的过滤驱动，直接向文件系统发送I/O请求包实现：

1.BfsMoveFileExW 2.FSCloseHandle3.FSCopyFile4.FSCopyFileW

5.FSCreateFile 6.FSCreateFileW7.FSDeleteFile8.FSDeleteFileW

9.FSFindClose10.FSFindFirstFile11.FSFindFirstFileW 12.FSFindNextFile

13.FSFindNextFileW14.FSGetFileAttributes15.FSGetFileAttributesEx

16.FSGetFileAttributesExW17.FSGetFileAttributesW18.FSGetFileSize

19.FSGetFileSizeEx20.FSGetLongPathName21.FSGetLongPathNameW

22.FSGetShortPathName23.FSGetShortPathNameW24.FSPathFileExists

25.FSPathFileExistsW26.FSPathIsDirectory27.FSPathIsDirectoryW

28.FSReadFile 29.FSSearchPath30.FSSearchPathW31.FSSetFileAttributes

32.FSSetFileAttributesW33.FSSetFilePointer34.FSSetFilePointerEx 35.FSWriteFile上述API均通过DeviceIoControl/NtDeviceIoControlFile来调用驱动提供的不同文件操作功能，这些操 360后门部分功能代码截图二作均会绕过基于过滤驱动的文件监控。

360安全卫士没有遵循正常的操作系统安全机制，却直接绕开了系统安全检查机制。其不仅具有“后门”功能，而且该程序存在重大安全隐患，利用此程序不需要任何身份认证，可轻易被黑客利用窥视用户隐私、读取、修改或删除用户电脑中的所有文件和注册表信息。

例如，任意普通用户可以在低权限的情况下实现删除系统安装的安全软件，隐藏自己的恶意程序。而通过bregdrv.sys对注册表的操作，可以利用其在系统底层任意操作注册表的权限，达到更多的目的，如：

通过修改注册表存储的用户信息，将guest用户激活并克隆成管理员，但是在系统表面看来，guest用户仍然是被禁用的。

通过修改注册表实现映像劫持，将sethc.exe（系统粘滞键功能）替换成cmd.exe，这样就可以实现在登录界面上按5下shift键直接呼出一个系统权限的cmdshell窗口，执行任意指令 希望我的回答对楼主您有所帮助