【攻防对抗】如何寻找360受信任文件路径，可实现主动添加白名单

在行进时，也时时有人退伍，有人落荒，有人颓唐，有人叛变，然而只要无碍于进行，则越到后来，这队伍也就越成为纯粹、精锐的队伍了。

0x00 写在前面的话

在如今的网络时代，计算机安全俨然成为了人人关心的对象。免费杀毒软件360可谓是将计算机安全做到了顶尖的水平（当然它也免不了一些流氓功能，这里就不吐槽了），成为当今中国的第一免费杀毒软件。

对于360而言，其中最出色的一点，就是他的主动防御系统，可以说它在免费杀软领域中敢称第二，没人敢称第一（至于收费的杀软，比如安天，江明等企业级别的这里就不多说了）。

个人建议，如果360能够稍微不再那么流氓，多学学别人火绒的话，一些“坏名声”恐怕就要会少很多（毕竟360还是要盈利的，(#^.^#)）

0x01 环境准备

测试环境: Windows 7 企业版（干净）

工具：火绒剑独立版（CRC：3760D944）

测试对象：360安全卫士

0x02 过滤路径

点击打开火绒剑后，选择过滤-进程过滤-路径

点击添加路径，由于大多数用户安装360时会默认安装到C盘，这里我更改了360的安装路径，选择为C:\Security\360Safe

0x03 思考分析

由于这里我们只添加了进程路径的过滤，所以当你开启监控行为时，会截下很多信息，不便于分析。所以在这里要稍微想一想。

模拟一下行为：

用户正常点开360安全卫士，手动添加受信任文件

360接收到反馈，将受信任的文件路径加密保存到某个位置

360的受信任文件的名单一定是添加到本地的，因为在断网时，添加文件到已信任区，受信任文件依旧有效，所以暂时排除360会主动收集并上传此类名单（不代表正常联网时不上传该文件）。

分析后，我们过滤的行为已经基本确认是文件操作行为，所以勾选文件行为即可

0x04 过滤行为并确定路径

动作过滤选择：FILE_write FILE_read FILE_open FILE_touch

点击确定后，开启监控，并手动添加文件到已信任区

PS:建议在弹出添加文件的窗口时再开启监控，避免截断的信息过多，不方便观察

添加后，文件行为已经被火绒剑拦截到，而从这里可以看到

这里出现了两个文件的写入，动脑子想想，360是不可能用两个文件来存储受信任文件名单的，所以你就分别过滤这个目录，自己动手试试就清楚了

经过一番尝试，我确定了受信任文件的路径， C:\Security\360Safe\deepscan\speedmem2.hg-journal

0x05 确认文件并实现添加已信任文件

打开此目录后，发现deepscan下会有个文件 speedmem2.hg

经过比较确认后，这是360将 speedmem2.hg-journal 改名为 speedmem2.hg

为了方便操作，我首先备份 speedmem2.hg 文件并使用360的文件粉碎机，粉碎 speedmem2.hg 文件，

粉碎之后，再次打开360木马查杀-已信任区

发现，已信任区的文件目录已经被清空，而360在其目录下新建一个 speedmem2.hg 文件，为了验证360是会主动读取该加密文件，我们再次将该文件删除，并将我备份的文件重新复制到该目录

注意，由于360目录的访问权限是*别的，如果你需要更改文件，需要暂时将360的自我保护功能和360的主动防御关闭

PS:如果你对如何关闭360自我保护功能感兴趣的话，你可以将360的主动防御关闭后，自己手动调试360，这里只是提及到不做深入了解

关闭后，彻底退出360，此时deepscan目录才能进行读写，接着将我们备份的文件复制进去，完全启动360后看一下效果

可以看到，我们已经成功实现了添加受信任文件，并且该文件只要目录和文件crc不发生变化，360是一直会信任的。

0x06 后记

本篇只是简单的阐述了360将已信任的文件记录保存在了那里，并没有对保存文件的加密算法进行研究分析。当然，我相信有其他的大佬早就分析出来了，毕竟我是个业余人员

最后感谢各位能够读到最后，祝你们好运