要遏制流氓，你就需要比流氓更加的流氓。那就是IFEO(Image File execution Options)镜像劫持：一种本来启动的A可执行程序但被B可执行程序所截留盗用的技术。我主要针对360安全卫生以及360杀毒软件的可执行程序设置了镜像劫持，让客户机执行相关可执行程序的时候跳转到一系统程序上去（具体是什么，就不点明了，想知道的小盆友可以下载我提供的程序，自己去找），当然跳转到任何一个程序上理论上都是可以的，比如cmd.exe。

当然，比流氓更加流氓的意思就是，在设置镜像劫持以后不要忘记，逐个给镜像劫持的键值设置访问权限，以防止360安装程序的暴力破坏。设置办法可参考 使用regini命令行设置注册表权限禁止360访问注册表的办法 。切莫不要将Image File Execution Options整个项设置为只读，虽然网上有些教程建议可以这样操作，但是难免一些正常的程序也会用到此项，因此还是辛苦点吧，需要劫持的可执行程序一个一个的找，权限也一个一个的设。

至此，可以算是比较完美的在一个干净的系统上完全免疫了奇虎360这个毒瘤了。友情提示，如果机器上已经不小心“被感染”了360，请忽视我写的这三篇日志吧。除非您主动手动卸载，或者在安全模式下删除360所有文件，我实在想不到其他办法可以彻底清除360。

下载360免疫补丁：http://www.ysrh.com/wp-content/uploads/2010/10/Anti360Spyware.exe

HKEY_LOCAL_MACHINE\SOFTWARE\360Safe [2 8 19]
HKEY_LOCAL_MACHINE\SOFTWARE\360softmgr [2 8 19]
HKEY_LOCAL_MACHINE\SOFTWARE\360SD [2 8 19]
HKEY_LOCAL_MACHINE\SOFTWARE\360se [2 8 19]
HKEY_LOCAL_MACHINE\SOFTWARE\LiveUpdate360 [2 8 19]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87515F61-A66C-4319-A0E0-D416CB8059E3} [2 8 19]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\360SafeLive.Update [2 8 19]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\360SafeLive.Update.2 [2 8 19]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B69F34DD-F0F9-42DC-9EDD-957187DA688D} [2 8 19]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Safemon.NavigatMon [2 8 19]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Safemon.NavigatMon.1 [2 8 19]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76C72A7C-C0A6-4171-B3E4-6BD181AF41B6} [2 8 19]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\360SelfProtection [2 8 19]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360netmon [2 8 19]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360SelfProtection [2 8 19]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BAPIDRV [2 8 19]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EfiMon [2 8 19]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookPort [2 8 19]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\qutmdserv [2 8 19]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\qutmipc [2 8 19]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZhuDongFangYu [2 8 19]

然后运行cmd，移动到anti360accessreg.ini文件路径，输入 regini anti360accessreg.ini 即可。

附上说明文件：
L:hacker>regini 
usage: REGINI [-m machinename | -h hivefile hiveroot | -w Win95 Directory] 
              [-i n] [-o outputWidth] 
              [-b] textFiles… where: -m specifies a remote windows NT machine whose registry is to be manipula 
ted. 
       -h specifies a specify local hive to manipulate. 
       -w specifies the paths to a windows 95 system.dat and user.dat files 
       -i n specifies the display indentation multiple.  Default is 4 
       -o outputWidth specifies how wide the output is to be.  By default the 
          outputWidth is set to the width of the console window if standard 
          output has not been redirected to a file.  In the latter case, an 
          outputWidth of 240 is used. b specifies that REGINI should be backward compatible with older 
           versions of REGINI that did not strictly enforce line continuations 
           and quoted strings Specifically, REG_BINARY, REG_RESOURCE_LIST and 
           REG_RESOURCE_REQUIREMENTS_LIST data types did not need line 
           continuations after the first number that gave the size of the data. 
           It just kept looking on following lines until it found enough data 
           values to equal the data length or hit invalid input.  Quoted 
           strings were only allowed in REG_MULTI_SZ.  They could not be 
           specified around key or value names, or around values for REG_SZ or 
           REG_EXPAND_SZ  Finally, the old REGINI did not support the semicolon 
           as an end of line comment character. textFiles is one or more ANSI or Unicode text files with registry data. The easiest way to understand the format of the input textFile is to use 
       the REGDMP command with no arguments to dump the current contents of 
       your NT Registry to standard out.  Redirect standard out to a file and 
       this file is acceptable as input to REGINI : 
           Semicolon character is an end-of-line comment character, provided it 
           is the first non-blank character on a line .  All 
           characters from the backslash up to but not including the first 
           non-blank character of the next line are ignored.  If there is more 
           than one space before the line continuation character, it is 
           replaced by a single space. Indentation is used to indicate the tree structure of registry keys 
           The REGDMP program uses indentation in multiples of 4.  You may use 
           hard tab characters for indentation, but embedded hard tab 
           characters are converted to a single space regardless of their 
           position , as they are associated with 
           the previous key at or above the value‘s indentation level. t create a value with leading or 
           trailing spaces, an equal sign or an at-sign in the value name, 
           unless you put the name in quotes. Valid value types and format of data that follows are: REG_SZ text 
              REG_EXPAND_SZ text 
              REG_MULTI_SZ “string1″ “str”"ing2″ … 
              REG_DATE mm/dd/yyyy HH:MM DayOfWeek 
              REG_DWORD numberDWORD 
              REG_BINARY numberOfBytes numberDWORD(s)… 
              REG_NONE (same format as REG_BINARY) 
              REG_RESOURCE_LIST (same format as REG_BINARY) 
              REG_RESOURCE_REQUIREMENTS (same format as REG_BINARY) 
              REG_RESOURCE_REQUIREMENTS_LIST (same format as REG_BINARY) 
              REG_FULL_RESOURCE_DESCRIPTOR (same format as REG_BINARY) 
              REG_QWORD numberQWORD 
              REG_MULTISZ_FILE fileName 
              REG_BINARYFILE fileName If no value type is specified, default is REG_SZ For REG_SZ and REG_EXPAND_SZ, if you want leading or trailing spaces 
           in the value text, surround the text with quotes.  The value text 
           can contain any number of imbedded quotes, and REGINI will ignore 
           them, as it only looks at the first and last character for quote 
           characters. REG_MULTI_SZ, each component string is surrounded by quotes.  If 
           you want an imbedded quote character, then double quote it, as in 
           string2 above. REG_BINARY, the value data consists of one or more numbers The 
           default base for numbers is decimal.  Hexidecimal may be specified 
           by using 0x prefix.  The first number is the number of data bytes, 
           excluding the first number.  After the first number must come enough 
           numbers to fill the value.  Each number represents one DWORD or 4 
           bytes.  So if the first number was 0×5 you would need two more 
           numbers after that to fill the 5 bytes.  The high order 3 bytes 
           of the second DWORD would be ignored. Whenever specifying a registry path, either on the command line 
       or in an input file, the following prefix strings can be used: HKEY_LOCAL_MACHINE 
            HKEY_USERS 
            HKEY_CURRENT_USER 
            USER: Each of these strings can stand alone as the key name or be followed 
          a backslash and a subkey path. REGINI: No textFile specified

       -

       Some general rules are

           Backslash character is a line continuation character

           Values should come before child keys

           For key names, leading and trailing space characters are ignored and 
           not included in the key name, unless the key name is surrounded by 
           quotes.  Imbedded spaces are part of a key name. 

           Key names can be followed by an Access Control List (ACL) which is a 
           series of decimal numbers, separated by spaces, bracketed by a 
           square brackets (e.g.  [8 4 17]).  The valid numbers and their 
           meanings are: 

              1  - Administrators Full Access 
              2  - Administrators Read Access 
              3  - Administrators Read and Write Access 
              4  - Administrators Read, Write and Delete Access 
              5  - Creator Full Access 
              6  - Creator Read and Write Access 
              7  - World Full Access 
              8  - World Read Access 
              9  - World Read and Write Access 
              10 – World Read, Write and Delete Access 
              11 – Power Users Full Access 
              12 – Power Users Read and Write Access 
              13 – Power Users Read, Write and Delete Access 
              14 – System Operators Full Access 
              15 – System Operators Read and Write Access 
              16 – System Operators Read, Write and Delete Access 
              17 – System Full Access 
              18 – System Read and Write Access 
              19 – System Read Access 
              20 – Administrators Read, Write and Execute Access 
              21 – Interactive User Full Access 
              22 – Interactive User Read and Write Access 
              23 – Interactive User Read, Write and Delete Access 

           If there is an equal sign on the same line as a left square bracket 
           then the equal sign takes precedence, and the line is treated as a 
           registry value.  If the text between the square brackets is the 
           string DELETE with no spaces, then REGINI will delete the key and 
           any values and keys under it. 

           For registry values, the syntax is: 

              value Name = type data 

           Leading spaces, spaces on either side of the equal sign and spaces 
           between the type keyword and data are ignored, unless the value name 
           is surrounded by quotes.  If the text to the right of the equal sign 
           is the string DELETE, then REGINI will delete the value. 

           The value name may be left off or be specified by an at-sign 
           character which is the same thing, namely the empty value name.  So 
           the following two lines are identical: 

              = type data 
              @ = type data 

           This syntax means that you can’

           For 

           For

虽然我不再对于网络上争论发表自己的言论，但并不代表我没有自己的立场，因为我觉得网络够大，无论是正方还是反方都有自己存在的必要和演绎的舞台。奇虎360就是一个很好的表演者。它的发展历史我就不再这里赘述了，有兴趣的朋友可以去看看，它是怎么从3721走过来的，简直就是经典大翻身啊。

奇虎360向来以娱乐著称（当然，有的朋友认为最娱乐的公司应该是瑞星，这里暂不讨论。）好像在我印象中它跟瑞星、金山等诸多知名安全软件厂商均有过节，最近又在跟中国最大的互联网公司——腾讯，闹用户隐私保护的问题。

真是两个可笑的公司，我先表明立场，且不说我去年跟腾讯的那点P事儿，我对腾讯这个企业实在是没有好感（当然，能够成为它的员工赚票子还是可以的，可惜人家看不上我），而且腾讯窃取用户隐私是必然的（有兴趣的同学可以围观熊猫烧香作者的新浪微博）。我不是腾讯的支持者，更不是为了谁而写一篇文章，所以360的专业喷子请绕道。但是绝对不是奇虎360这厮弄个什么隐私探测工具所能看见的。有兴趣的同学可以试试，如果不运行QQ.exe，或者是将其他应用程序改名为QQ.exe运行，大家看见了神马神奇的效果？所以就这件事情而言，被伤害的仅仅是用户而已，只是奇虎360和腾讯两家公司为了自己的经济利益在竞争市场份额在客户端软件上加了一些莫名其妙的忽悠组件而已。

说正题，本次激怒我的正是奇虎360安全卫士这个软件本身，由于工作的原因，360给我照成了许多的工作难度，甚至可以说因为360的拙劣增加了我的工作量。有兴趣的同学的可以点这里看看卡巴大神的剖析《360欺骗4亿网民 胡乱解读“超级工厂”病毒》。好吧，虽然我很渺小，但是我单方面认为360在我的地盘跟我开战了，于是我开始着手全面禁止客户机安装360安全卫士的办法。

首先，阻止下载。

使用360的用户，其计算机水平可想一般，而且大多数都是在不知情的情况下安装上的，这点我不能不佩服360的推广模式。由于企业使用了Websense上网管理系统，我将360的站点划分在人为归类到安全类别中的“可能不需要使用的软件”组中，然后设置此组为禁止访问，这样以普通用户的计算机水平，基本是无法获取到360的安装包了。当然对于已经安装了360的用户，从现在开始其360娱乐管理软件也无法更新了，你们可以谢谢我了。

其次，禁止安装。

阻断了360的官方站点，但是用户还是可以用U盘等外置媒介中获取360的安装包进行安装。接下来的工作就是要想办法限制360在客户机上的安装。由于Windows文件格式的限制，同一个目录下文件夹和文件不能重名，我想过在每台机器上的360默认安装路径（C:\Program Files\360）相同目录上放置一个名为360的空文件（无后缀名）。这样可以禁止360的默认安装，可是如果用户手动更换安装路径的话，安装过程还是可以继续。然后又想到从注册表方向去考虑，因为安装过office的同学都应该知道，当注册表键值无法写入的时候，office是无法安装完成的。于是，我限制了奇虎360的注册表键值的写入，你会发现，流氓软件之所以流氓，就在于无论条件多么苛刻，它总是要在你的机器里驻留，而且很难清除，在无法写入任何注册表键值的情况下，360安全卫士依然可以完成安装和运行（当然，运行得不彻底，比如超级流氓的360SelfProtection.sys，有兴趣的同学可以仔细研究这一部分）。这个限制做了以后，360还是安装上了，只是核心组件木马防火墙会无法开启，点击开启系统会说开启失败，要求重启电脑，当然重启电脑以后依旧无法开启滴，O(∩_∩)O哈哈~

最后，禁止运行。

由于无法完全禁止奇虎360的安装，那么下一步的工作就是如何卸载奇虎360或者是让它变成硬盘里的一些“文件”，而不是可执行程序。【2010年10月17日，添加内容：消灭流氓奇虎360续之全面禁止360程序运行】若是成功安装了的360真的是灰常强大，诸如冰刃等程序在它这里都会吃闭门羹，其秘密就是在360SelfProtection.sys这个文件里。它优先于SYSTEM而加载，算是BOOT级别的了，完全的很好的保护着360常驻你的机器。被它保护的地方有注册表的重启卸载（比如有些软件要重启以后才可以卸载，而360这个保护这个键值不运行第三方软件或人添加），还有所有的360可执行程序（无论是否加载或直接运行）。友情提示，这个文件在安全模式下不会被加载可以删除，除此以外本人还未发现其他更好的办法，有知情的老师赐教。因为只要搞定了这个文件，无论是静默卸载或者是关掉360的服务让它成为“文件”都可以成为现实。

最后，哥以一个非资深、路过的、打酱油的PC安全服务人员的身份劝告大家，珍爱电脑，远离360！