原創：星綻紫輝 http://m.shnenglu.com/rawdata   2009-2-5

        本文章僅用于技術交流。

        關鍵字： IP Guard 客戶機 卸載

        IP Guard客戶端在XP下無法直接卸載，而且其監控功能非常強大和全面，但是特別令人不舒服：所有的操作都被服務器端一覽無遺，其行為和木馬無本質區別。而且只有第一個服務器才能卸載對應的客戶機。

        分析IP Guard 的安裝程序包，發現類似于inno的打包方式，用PEID偵測，果然是用inno打的包，而且沒有任何的加密措施。

         用Inno Setup Unpacker Explorer解包，所有安裝的文件一覽無遺。用PEID偵測，全部沒有加殼，目錄如下：
      
          1. {app}
          2. {cf}
          3. {sys}
          4. {win}
          5. embedded

         每個符號的意義可以在Inno的使用幫助中查閱。

          在各個目錄下，所有的安裝文件都可以找到，而且沒有殼（我不明白為什么它不加殼？為什么不注重自身的安全？），只要刪除對應的文件和注冊表項目，可以達到清除的目的(如果無法刪除，可以嘗試在安全模式下刪除)。但是，如果是聯網狀態，服務器可能繼續強制安裝監控客戶端，這一點由于時間原因還未進一步測試。

        在{win}下有一個名為ClrAgNet.exe的文件，可以卸載，它提供客戶機單獨模塊和全部模塊的卸載，但是需要密碼，它會給你一個Image ID,然后你必須根據該ID從服務器得到卸載密碼，然后才能直接徹底卸載。


 后記1：經過測試服務器還是可以獲得其屏幕，可以對其鎖定，但是上網和QQ記錄不能正常工作.說明驅動沒有刪除干凈，難道是運行時備份？

最后在OD幫助下卸載了。截圖如下: