原創(chuàng):星綻紫輝 http://m.shnenglu.com/rawdata 2009-2-5
本文章僅用于技術(shù)交流。
關(guān)鍵字: IP Guard 客戶機(jī) 卸載
IP Guard客戶端在XP下無(wú)法直接卸載,而且其監(jiān)控功能非常強(qiáng)大和全面,但是特別令人不舒服:所有的操作都被服務(wù)器端一覽無(wú)遺,其行為和木馬無(wú)本質(zhì)區(qū)別。而且只有第一個(gè)服務(wù)器才能卸載對(duì)應(yīng)的客戶機(jī)。
分析IP Guard 的安裝程序包,發(fā)現(xiàn)類似于inno的打包方式,用PEID偵測(cè),果然是用inno打的包,而且沒(méi)有任何的加密措施。
用Inno Setup Unpacker Explorer解包,所有安裝的文件一覽無(wú)遺。用PEID偵測(cè),全部沒(méi)有加殼,目錄如下:
1. {app}
2. {cf}
3. {sys}
4. {win}
5. embedded
每個(gè)符號(hào)的意義可以在Inno的使用幫助中查閱。
在各個(gè)目錄下,所有的安裝文件都可以找到,而且沒(méi)有殼(我不明白為什么它不加殼?為什么不注重自身的安全?),只要?jiǎng)h除對(duì)應(yīng)的文件和注冊(cè)表項(xiàng)目,可以達(dá)到清除的目的(如果無(wú)法刪除,可以嘗試在安全模式下刪除)。但是,如果是聯(lián)網(wǎng)狀態(tài),服務(wù)器可能繼續(xù)強(qiáng)制安裝監(jiān)控客戶端,這一點(diǎn)由于時(shí)間原因還未進(jìn)一步測(cè)試。
在{win}下有一個(gè)名為ClrAgNet.exe的文件,可以卸載,它提供客戶機(jī)單獨(dú)模塊和全部模塊的卸載,但是需要密碼,它會(huì)給你一個(gè)Image ID,然后你必須根據(jù)該ID從服務(wù)器得到卸載密碼,然后才能直接徹底卸載。
后記1:經(jīng)過(guò)測(cè)試服務(wù)器還是可以獲得其屏幕,可以對(duì)其鎖定,但是上網(wǎng)和QQ記錄不能正常工作.說(shuō)明驅(qū)動(dòng)沒(méi)有刪除干凈,難道是運(yùn)行時(shí)備份?
最后在OD幫助下卸載了。截圖如下:
