360安全衛(wèi)士全部版本會在安裝過程中在用戶系統(tǒng)上安裝一個(gè)注冊表操作后門程序，該后門可以繞過操作系統(tǒng)的安全檢查機(jī)制任意操作（設(shè)置、刪除等）用戶的注冊表。由于該程序沒有對調(diào)用者進(jìn)行檢查，導(dǎo)致任意程序（如各種木馬程序等）可以通過該后門任意操作（設(shè)置、刪除等）用戶的注冊表系統(tǒng)。

該后門包括兩個(gè)文件：

1. bregdrv.sys：內(nèi)核模式驅(qū)動(dòng)，該驅(qū)動(dòng)程序通過調(diào)用操作系統(tǒng)的未公開CmXxx系列函數(shù)來操作注冊表，另外由于操作系統(tǒng)內(nèi)部本身維護(hù)了很多同步數(shù)據(jù)、緩存數(shù)據(jù)，直接調(diào)用CmXxx系列函數(shù)操作注冊表極有可能造成系統(tǒng)內(nèi)部數(shù)據(jù)不同步，嚴(yán)重影響系統(tǒng)安全性，甚至可能導(dǎo)致用戶正常數(shù)據(jù)丟失；

2. bregdll.dll：用戶態(tài)動(dòng)態(tài)庫，該動(dòng)態(tài)庫封裝了對bregdrv.sys的調(diào)用，為用戶態(tài)程序提供注冊表操作后門的接口；

1、bregdrv.sys

處理 IoControl ：

通過CmDeleteKey實(shí)現(xiàn)注冊表鍵值的刪除操作：

2、bregdll.dll

BRegDeleteKeyW函數(shù)中調(diào)用驅(qū)動(dòng)的0x7be2058號IoControl實(shí)現(xiàn)刪除注冊表鍵值操作：

【編輯推薦】