WooYun.org

某年月日，打完LOL，是时候关一波机了，然后。。。某应用程序无响应- -
哎？某些无响应没有被关闭，那是不是其他的都被关闭了呢？
我们先来看看Windows的关机机制：
System Signal -> Shutdown Process -> Power Off
既然这样，那我们是不是可以捕获信号，趁各种杀软都gg了的时候干掉他们或执行代码or其他程序？
MSDN告诉我们，Windows提供用于监测系统事件的API，比如关机和注销。
此处正在写代码- -
好了~，核心一句话，通过Cancel方法来阻止关机，然后执行测试。
本地实测拦截成功。
好的，然后插入自己的代码吧。想破坏就删程序，想过悄无声息得以后随意过主动就插证书，还可以远程执行脚本嘛~ 随意随意~ 先测试个破坏杀软吧。（插证书和删杀软需要管理权限，只是执行自定义代码不需要。）
此处又在写代码- -
Ok，改一下，kill掉文件就可以。测试机装的金山小卫士，那干掉ksafe.exe好了。
（测试用…… 删多了我要手动恢复，pad无力很麻烦的- - ）
然后执行程序，关机。。。
我擦，怎么没删掉- -
发动技能：容我三思 消耗：棒棒糖x1
是不是太快了。。。小卫士还没关掉。。。
继续改。。。
此处依然在写代码- -
来，继续战个痛。
运行，关机，开机。。。哈哈哈~ 果然GG了。
是时候测试一下其他机子了。

（换了一台）
运行，关机……哎？没拦住？？？
再试一遍……
还是没拦住，怎么搞的。
继续求助万能的度娘谷歌。
终于发现了问题：AutoEndTasks值为1，快速关机了- -
好吧，你赢了。我错了，我改还不行么。
这个注册表键值在Current User里，Desktop下，是用户自己的东西，修改主动不报。

此处仍在写代码- -
好了，搞定，跑起来试试看~
成功~ 就是这样。
尽管各种杀软对文件夹保护严格，但还是有办法的~
不同的杀软文件保护可能不同，比如百度卫士就需要修改一下文件权限再操作。
不过，只要能退出防护并执行自己的代码，我们就达到目的啦。
远程代码执行可以这样实现：
再Form_Load中下载，然后在关机的时候执行。
定时检查什么的就不多说了。