众所周知，360是一个非常流氓的软件，以其普通版超多的广告和各类捆绑软件闻名于世。

在安装了360的电脑上，会运行一个名为“360主动防御模块”（ZhuDongFangYu.exe）的进程，这个进程在普通情况下使用任务管理器或者命令行（管理员权限）是无法将之杀死的，会提示“拒绝访问”和“权限不足”......

然后我今天突发奇想，既然以“Administrator”权限无法杀死360的进程，那么如果使用更高的系统级权限“SYSTEM”能否杀死它呢？


说干就干！


随后我使用 PSTools 工具以 SYSTEM 权限运行了一个 cmd 窗口：

[Shell] 纯文本查看 复制代码

psexec -s -i cmd.exe

可以看到，我使用 whoami 命令验证当前用户后，回显提示，我们已经处于 SYSTEM 权限中了，接下来我们就可以开始利用系统级权限来终止360进程或删除360的防御模块文件了。


在此之前，我们先进入任务管理器查看360进程的PID：


查看到该进程的PID为7300，接下来我们将使用 taskkill /PID 7300 /F 命令尝试将这个PID强行终止。




结果是，哪怕以 SYSTEM 权限来杀死这个进程，仍然会显示拒绝访问...



----------------------分割线----------------------


SYSTEM 是我印象中 Windows 系统下最高的权限等级了，我记得它属于 ring0 级别，然而这都无法终止360的进程，我真的感觉非常离谱......
有没有知道360可能是以什么方式来实现这种“蔑视系统王权，挟天子以令诸侯”的操作的大佬？帮我解解惑好嘛？

众所周知，360是一个非常流氓的软件，以其普通版超多的广告和各类捆绑软件闻名于世。

在安装了360的电脑上，会运行一个名为“360主动防御模块”（ZhuDongFangYu.exe）的进程，这个进程在普通情况下使用任务管理器或者命令行（管理员权限）是无法将之杀死的，会提示“拒绝访问”和“权限不足”......

然后我今天突发奇想，既然以“Administrator”权限无法杀死360的进程，那么如果使用更高的系统级权限“SYSTEM”能否杀死它呢？


说干就干！


随后我使用 PSTools 工具以 SYSTEM 权限运行了一个 cmd 窗口：

[Shell] 纯文本查看 复制代码

psexec -s -i cmd.exe

可以看到，我使用 whoami 命令验证当前用户后，回显提示，我们已经处于 SYSTEM 权限中了，接下来我们就可以开始利用系统级权限来终止360进程或删除360的防御模块文件了。


在此之前，我们先进入任务管理器查看360进程的PID：


查看到该进程的PID为7300，接下来我们将使用 taskkill /PID 7300 /F 命令尝试将这个PID强行终止。




结果是，哪怕以 SYSTEM 权限来杀死这个进程，仍然会显示拒绝访问...



----------------------分割线----------------------


SYSTEM 是我印象中 Windows 系统下最高的权限等级了，我记得它属于 ring0 级别，然而这都无法终止360的进程，我真的感觉非常离谱......
有没有知道360可能是以什么方式来实现这种“蔑视系统王权，挟天子以令诸侯”的操作的大佬？帮我解解惑好嘛？