360安全衛士全部版本會在安裝過程中在用戶系統上安裝一個注冊表操作后門程序，該后門可以繞過操作系統的安全檢查機制任意操作（設置、刪除等）用戶的注冊表。由于該程序沒有對調用者進行檢查，導致任意程序（如各種木馬程序等）可以通過該后門任意操作（設置、刪除等）用戶的注冊表系統。

該后門包括兩個文件：

1. bregdrv.sys：內核模式驅動，該驅動程序通過調用操作系統的未公開CmXxx系列函數來操作注冊表，另外由于操作系統內部本身維護了很多同步數據、緩存數據，直接調用CmXxx系列函數操作注冊表極有可能造成系統內部數據不同步，嚴重影響系統安全性，甚至可能導致用戶正常數據丟失；

2. bregdll.dll：用戶態動態庫，該動態庫封裝了對bregdrv.sys的調用，為用戶態程序提供注冊表操作后門的接口；

1、bregdrv.sys

處理 IoControl ：

通過CmDeleteKey實現注冊表鍵值的刪除操作：

2、bregdll.dll

BRegDeleteKeyW函數中調用驅動的0x7be2058號IoControl實現刪除注冊表鍵值操作：

【編輯推薦】