IntraView分析

    公司最近装了IntraView，搞得大家心里比较憋气。这是一款监控软件，监视从计算机开机到关机用户的所有行为，包括进程(网页、QQ等等)的开闭信息、硬件(USB设备，打印机等)的使用信息，并且号称只要开启新窗体或者窗体的标题变化都会自动截屏，并且支持远程屏幕监控。自认为自己的工作品德一向不错，很少在工作时间浏览技术无关的网页，更不会看电影偷菜之类的了，聊天也很少。可是装了这个东西心里总感觉毛毛的，堵得慌。我们是谁——我们是程序员！我们崇尚的是什么，我们崇尚的是自由！干什么事都被监控能自由吗——当然不能！因此，有了本文。
    这个软件分工作站和服务器两部分，工作站装在每台被监视的机子上——也就是我们的机子上，服务器当然装载监控者的机子上——通常就是公司的服务器上。要监控必然需要通过网络，这样通过360的网络流量监控器就可以知道这个软件对应的进程是什么。郁闷的是最终发现工作站是注入svchost.exe进程工作的，没有独立的进程。一时间一条路断了。
    进一步通过网络流量发现一般情况工作站都没有和服务器进行数据通信，那么监控产生的数据必然就保存在本地的硬盘。如何知道具体是哪些文件呢？这个难不倒咱程序员，通过ReadDirectoryChanges可以了解到某个目录下是否有文件的更新操作(增删改)。这样，通过监视磁盘就可以知道它动了咱的哪些文件。最终发现工作站将信息主要保存在三个目录下。相关的DLL文件及配置文件保存在C:/WINDOWS/system32目录下，包括PE文件AMsg.Exe、ArFile.sys、ArComm.dll、ArNet.dll、ArsDb.dll、ArsDbClient.dll、ArsFile.dll、ArLib.dll、ArWs.dll、ArShell.Dll、ArWsDaemon.Dll、ArMMComm.dll、WdmAdo.dll、ArWsPlug.dll、Ar