对抗360天擎监控的几种方法、思路

生有涯知无涯

某些单位为了“安全”会强制要求员工安装天擎，安装后会开机自启，退出或卸载都要密码
而且处于管理员的监控之下。可以这么说，安装了天擎，在管理员面前就跟裸奔差不多，电脑安了什么软件、当前运行什么进程等看的一清二楚

最可怕的还是无任何提示远程查看或远程控制。。。。。。


没人想被监控吧，今天就来说几种防止被监视的方法。
一、利用天擎自身漏洞
天擎可以管理启动项，把它自己禁止启动就行了。。。。。我刚发现这个漏洞时挺无语的，但确实简单有效。



在启动项里，天擎显示为“360安全卫士”，禁用就好，如果重启后发现还在，再禁用一次就行了。
不过这不是长久之计，因为管理员在后台看不到你在线，时间久了肯定会被管理员发现。


二、设置防火墙出站规则，禁止远控程序联网
很遗憾，这个方法短时间有效，因为过一段时间天擎会把防火墙“高级设置”里对它有限制的规则删除，虽然最终无效，但还是要提一下，不失为一种思路。

另外，防火墙里不能禁止天擎联网，对它不利的勾不能取消。

三、调试获取密码

弹框时用OD附加，然而意料之中并不能附加

网上说是因为程序hook了SSDT或者通过其他方法让自己处于调试状态，进而阻止被调试。我也没有深入研究（其实是超出了自身能力范围），毕竟有更简单的方法，所以留给论坛里的大神了。
四、进PE或安全模式启动电脑，老窝一锅端
这两个比较简单就不说了，请自行百度。思路就是通过这样的方式开启电脑，天擎不会开机启动，趁它没启动，统统删掉就行了。
五、最终解决方案
管理员后台那边显示在线，但是远程查看或控制失效，岂不美哉？方法很简单，删除远控程序即可，直接删除不了，要安装火绒，然后粉碎文件。
远控程序为ra目录下的rcservice.exe，已经被我删掉了。

后台可以看到我在线：

远控一下试试：

可以看到远控功能失效了，一直显示这个灰色的画面。


如果大家有其他方法，欢迎交流分析！
===================================================================
六、伪装

2020年2月27日更新

根据坛友的反馈：把真机的天擎卸载了，在虚拟机里安装天擎，然后把虚拟机的名称修改成真机名称、桌面设置成真机的桌面，此方案可行，基本上是完美解决方案了。下为测试截图：
后台：

远程查看（未更换桌面）：

远程查看（已更换桌面）：

绫织梦

突然想起我之前用360文件粉碎机干掉某网吧的网管软件，不过后来被打的很惨就是了（手动滑稽）

大白小子

你真当我周鸿祎不上吾爱嘛

kingkiller

需要靠装监控来监督员工的公司不是好公司

冰楓丶殘瀷

360也逛这个论坛的傻了吧

齐恩

把系统bak了然后重装个系统，把bak的系统放虚拟机可行不

风花雪月的年少

还有一种思路是伪装，他监控归他监控，但看到的东西都是伪装过的，真实的看不到。

成都杏林

安全模式下，直接就可以把天擎文件删除

netCheney

不错不错，之前公司让安装过金山类似的软件，让我用360干掉了，跟老铁这个异曲同工啊

kuliwang

这个牛逼。。。。。

灵剑丹心

天融信终端安全管理系统TopDesk 怎么干掉

iamwangz

kingkiller 发表于 2020-2-26 20:43
需要靠装监控来监督员工的公司不是好公司

360就是这么个公司啊。。。

AsgoreDreemurr

有一说一，不如换公司。