文档章节

转载:IP-Guard都干了些什么(其他如威盾等亦差不多)

idllbi
 idllbi
发布于 2017/05/11 15:21
字数 522
阅读 262
收藏 0

##IP-Guard 整个一裹着信息安全软件外衣的超级流氓,下面来看一下它对我们的系统都干了什么。

首先是生成的文件,别看它安装程序那么小,其实生成的文件很多也一点都不小

C:\Program Files\Common Files\System
C:\WINDOWS\system32\drivers
C:\WINDOWS\system32
三个文件夹下所有“公司”为“TEC Solutions Limited.”的文件,约有20多个

注册表启动项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]<{A16CA976-4B8D-47FC-A9F4-651C17B636EF}><C:\WINDOWS\system32\msowcnv3.dll>

添加的服务

[Windows Helper Service / Winhlpsvr]<C:\Program Files\Common Files\System\winrdgv3.exe>

加载的驱动文件

[TFsfltdrv / TFsfltdrv]<C:\WINDOWS\system32\drivers\tfsfltdrv.sys>
[TPacket Driver / TPacket]<C:\WINDOWS\System32\Drivers\tpacket.sys>
[TSysDrv / TSysDrv]<C:\WINDOWS\system32\drivers\TSysDrv.sys>

可以在进程管理中直接看到的两个进程(通过系统的rundll32程序来运行)

C:\WINDOWS\system32\rundll32.exe winoav3.dll runagent32
C:\WINDOWS\system32\rundll32.exe winoauv3.dll runagent32u

DLL注入 (包括但不限于以下进程,有可能有很多,请自行查看每个进程,凡文件厂商为 TEC Solutions Limited. 的DLL即是被IP-Guard注入的)

[C:\WINDOWS\system32\winlogon.exe]
[C:\WINDOWS\Explorer.EXE]
[C:\WINDOWS\system32\rundll32.exe]
[C:\WINDOWS\system32\ctfmon.exe]

API 挂钩(Hook dll: C:\WINDOWS\system32\winhadnt.dll)

入口点:DeleteFileW
入口点:FindFirstFileExW
入口点:CreateFileW
入口点:CopyFileExW
入口点:SHFileOperationW
看它有多毒……凡是创建、删除、复制、查看等与文件有关的操作全被它控制

知道它干了些什么就好办了,对付它用 IceSword 或者 XueTr 这样的工具就可以了,把能删的全删,能卸载的全卸,只要看到8235端口没有被使用就说明它已经不与服务器连接了,并且在重启后如果那三个文件夹下不再生成文件就说明彻底干净了

PS. 如果不想完全搞掉它只想不被监视,有个简单的方法:开机的时候选Ghost工具,用下面的DOS环境把rundll32.exe改个名字就可以了,当然这不是好办法,因为rundll32是个有用的系统程序

本文转载自:http://www.cnblogs.com/ylawrence3/archive/2009/03/12/1410005.html

idllbi
粉丝 0
博文 5
码字总数 1378
作品 0
深圳
私信 提问
wordpress个人网站优化心得

第一:文武双全使用了阿里云公共DNS 2014年6月6日,阿里云推出了自己的公共DNS,文武双全就把用了N久的电信DNS换成了阿里云公共DNS。 由于使用了WDCP面板,在wdcp后台修改服务器的DNS也是轻而...

gydtep
2018/09/07
0
0
收到一个神盾局的offer,怎么样?

漫威十一年系列总结性的电影《复联4》正在热映,而衍生出的一部和漫威宇宙关联的美剧《神盾局特工》,今年我也在陆陆续续地看。一开始预期的是一部特工加一些科幻或魔幻元素的剧集,就图看得...

mindwind
05/13
0
0
阿里云提示wordpress IP验证不当漏洞怎么办,如何修复

阿里云经常提示有wordpress IP验证不当漏洞,实际上这个漏洞影响并不大,阿里云只是为了让你购买它的付费版的云盾服务器安全服务(安骑士)。其实我们自己手动就可以修复这个漏洞,下面是如何...

Bella小旭
2018/04/10
0
0
国内高硬防服务器租用,就选江苏扬州BGP高防机房,值得信赖

国内硬防服务器,高硬防服务器租用,哪里的安全可靠速度快,性能稳定江苏BGP高防 性价比高,大带宽高硬防,安全可靠,速度飞快 扬州BGP高防机房(高防BGP,单机100G。) 机房介绍:QQ:97063...

sh97063503
2018/05/31
0
0
Question | 移动端虚拟机注册等作弊行为的破解之道

本文来自网易云社区 “Question”为网易云易盾的问答栏目,将会解答和呈现安全领域大家常见的问题和困惑。如果你有什么疑惑,也欢迎通过邮件(zhangyong02@corp.netease.com)提问。 这是一个...

网易云
2018/09/28
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Spring使用ThreadPoolTaskExecutor自定义线程池及实现异步调用

多线程一直是工作或面试过程中的高频知识点,今天给大家分享一下使用 ThreadPoolTaskExecutor 来自定义线程池和实现异步调用多线程。 一、ThreadPoolTaskExecutor 本文采用 Executors 的工厂...

CREATE_17
今天
5
0
CSS盒子模型

CSS盒子模型 组成: content --> padding --> border --> margin 像现实生活中的快递: 物品 --> 填充物 --> 包装盒 --> 盒子与盒子之间的间距 content :width、height组成的 内容区域 padd......

studywin
今天
7
0
修复Win10下开始菜单、设置等系统软件无法打开的问题

因为各种各样的原因导致系统文件丢失、损坏、被修改,而造成win10的开始菜单、设置等系统软件无法打开的情况,可以尝试如下方法解决 此方法只在部分情况下有效,但值得一试 用Windows键+R打开...

locbytes
昨天
8
0
jquery 添加和删除节点

本文转载于:专业的前端网站➺jquery 添加和删除节点 // 增加一个三和一节点function addPanel() { // var newPanel = $('.my-panel').clone(true) var newPanel = $(".triple-panel-con......

前端老手
昨天
8
0
一、Django基础

一、web框架分类和wsgiref模块使用介绍 web框架的本质 socket服务端 与 浏览器的通信 socket服务端功能划分: 负责与浏览器收发消息(socket通信) --> wsgiref/uWsgi/gunicorn... 根据用户访问...

ZeroBit
昨天
10
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部