360安全卫士名为“360FsFlt.sys”和“hookport.sys”的驱动程序。被排除的驱动白名单，如下图所示： 白名单相关代码，如下图所示： 移除进程回调然后再通过PsSetLoadImageNotifyRoutineEx或者PsSetLoadImageNotifyRoutine获取模块加载回调函数队列，将白名单以外的回调移除。相关代码，如下图所示： 移除模块加载回调被注入的恶意代码被注入的恶意代码中主要包含两部分功能：劫持浏览器启动参数和释放加载corp.dll（用于进行流量暗刷的病毒模块）。受影响的浏览器与前文驱动中内容相同，此处不再进行赘述。当启动进程与劫持列表中情况相符时，即会修改浏览器进程的启动参数。相关代码，如下图所示： 劫持代码被劫持的网址可以通过%APPDATA%safebrainconf.ini进行获取，如果获取不到会设置为代码中设置的默认值（默认值代码中所示）。相关代码，如下图所示： 获取启动参数释放加载corp.dll相关代码，如下图所示： 释放加载corp.dllcorp.dll动态库加载后会创建浏览器控件窗体，并将起始URL设置为网页链接hxxps://whale123.com/stat/corp.html，之后再将页面跳转到hxxps://whale123.com/stat/ie.php进行流量暗刷。www.whale123.com为聚软科技广告投送平台官网地址，有意思的是在该站点下面的ie.php页面中展示的广告内容均不可见。创建浏览器控件窗体相关代码，如下图所示： 创建浏览器窗体在窗体创建时会设置timer，在窗体创建300秒后将页面设置为暗刷页面。相关代码，如下图所示： 设置暗刷页面ie.php是一个跳转页面，会基于一定概率跳转到流量暗刷页面刷取流量。除此之外，用来刷取流量的页面对广告内容全部设置了不可见属性，所以即使当用户将窗体移动至可见区域内也依然无法确认该窗体在刷取流量。ie.php中的html代码，如下图所示： ie.php中的html代码