技巧！通過360衛士白名單繞過查殺

現在只對常讀和星標的公眾號才展示大圖推送，建議大家把瀟湘信安“設為星標”，否則可能看不到了！

0x00 前言

昨天先知社區看到《對某地產集團的一次滲透測試》一文中作者遇到這樣一個問題：因存在360而無法執行上傳的程序，即使免殺也不行，但不知道為什么fscan又可以執行，他猜測可能是誰設置了白名單。

根據他的描述大概率是360攔截的進程鏈，但不知道他遇到的這個具體是啥情況，這在實戰中也是比較常見的一個場景，所以想著還是寫篇文章簡單記錄分享一下。

0x01 問題復現

通過RCE或其他高危漏洞成功得到admin/system，但目標有360，在執行高危命令或自己上傳的程序時都被攔截了，即使免殺也可能會被攔截，如下圖所示。

被攔時一般會提示：拒絕訪問、Access is denied，這時我們一般都會使用一些白名單或者內存加載等方式來繞過，有的師傅也會使用驅動干掉360、模擬鍵鼠退出360等。

在那篇文章作者@laohu就是通過哥斯拉的內存加載PE文件繞過360上線的cobaltstrike，這只是其中一種繞過方法，也可以去試下冰蝎、蟻劍或各種腳本的內存加載方式。

以上方法在我之前分享的文章中大部分都有用過或者提過，我就不詳細寫了；下邊我們來介紹另一種在高權限下的免殺繞過方式，只是給大家提供這么一個思路。

0x02 繞過方式

只要我們的權限夠大（admin/system）就可以通過360的日志文件來確定有沒有設置的白名單文件，如果有則可以使用這些白名單文件的命名來繞過查殺，但可能過不了進程鏈的監測，需結合白名單繞過。

360每天都會在靜默狀態下“偷偷”給你掃幾次，所以我們也不用擔心沒有這些掃描日志文件，下邊這個路徑主要存放的就是360的掃描日志和設置白名單日志。

C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\

360掃描日志文件：

這個日志文件主要記錄的是掃描結果以及我們設置的白名單文件列表，記錄的有掃描時間、文件、hash等。

C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\ScanLog_2023-05-10_16_15_05.txt

360白名單日志文件：

這個日志文件記錄的是我們添加或移除白名單的時間、文件名、hash等信息，otc=1為添加白名單，otc=2為移除白名單或者隔離木馬病毒文件等。

C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\360LogCenter.exe.ESG.2023-05-10.log

0x03 注意事項

從之前在本地復現和實戰測試來看，360經常會出現各種玄學奇葩問題，有的情況下它會攔截，有的情況下它又不會攔截，所以大家在實戰測試中還是得以實際情況為準...，可能會遇到各種各樣的問題。