转载:IP-Guard都干了些什么(其他如威盾等亦差不多)

最新推荐文章于 2022-07-10 15:56:13 发布
最新推荐文章于 2022-07-10 15:56:13 发布
阅读量1.5k 收藏 3
点赞数
文章标签: 操作系统
原文链接:https://my.oschina.net/u/3476421/blog/897544
版权

##IP-Guard 整个一裹着信息安全软件外衣的超级流氓,下面来看一下它对我们的系统都干了什么。

首先是生成的文件,别看它安装程序那么小,其实生成的文件很多也一点都不小

C:\Program Files\Common Files\System
C:\WINDOWS\system32\drivers
C:\WINDOWS\system32
三个文件夹下所有“公司”为“TEC Solutions Limited.”的文件,约有20多个

注册表启动项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]<{A16CA976-4B8D-47FC-A9F4-651C17B636EF}><C:\WINDOWS\system32\msowcnv3.dll>

添加的服务

[Windows Helper Service / Winhlpsvr]<C:\Program Files\Common Files\System\winrdgv3.exe>

加载的驱动文件

[TFsfltdrv / TFsfltdrv]<C:\WINDOWS\system32\drivers\tfsfltdrv.sys>
[TPacket Driver / TPacket]<C:\WINDOWS\System32\Drivers\tpacket.sys>
[TSysDrv / TSysDrv]<C:\WINDOWS\system32\drivers\TSysDrv.sys>

可以在进程管理中直接看到的两个进程(通过系统的rundll32程序来运行)

C:\WINDOWS\system32\rundll32.exe winoav3.dll runagent32
C:\WINDOWS\system32\rundll32.exe winoauv3.dll runagent32u

DLL注入 (包括但不限于以下进程,有可能有很多,请自行查看每个进程,凡文件厂商为 TEC Solutions Limited. 的DLL即是被IP-Guard注入的)

[C:\WINDOWS\system32\winlogon.exe]
[C:\WINDOWS\Explorer.EXE]
[C:\WINDOWS\system32\rundll32.exe]
[C:\WINDOWS\system32\ctfmon.exe]

API 挂钩(Hook dll: C:\WINDOWS\system32\winhadnt.dll)

入口点:DeleteFileW
入口点:FindFirstFileExW
入口点:CreateFileW
入口点:CopyFileExW
入口点:SHFileOperationW
看它有多毒……凡是创建、删除、复制、查看等与文件有关的操作全被它控制

知道它干了些什么就好办了,对付它用 IceSword 或者 XueTr 这样的工具就可以了,把能删的全删,能卸载的全卸,只要看到8235端口没有被使用就说明它已经不与服务器连接了,并且在重启后如果那三个文件夹下不再生成文件就说明彻底干净了

PS. 如果不想完全搞掉它只想不被监视,有个简单的方法:开机的时候选Ghost工具,用下面的DOS环境把rundll32.exe改个名字就可以了,当然这不是好办法,因为rundll32是个有用的系统程序

转载于:https://my.oschina.net/u/3476421/blog/897544

chuanmankan8873
关注
【常用的反监控(winrdlv3)方法winrdlv3】
wr9zgo48的博客
04-23 7671
可以正常运行且不会加密也不会被管理员发现监听等
IP-Guard v3
03-14
IP-Guard v3 内网电脑客户端管理
IP-guard功能详解——屏幕监控
hupu521的博客
04-09 5167
IP-Guard屏幕监控功能可以实现以下功能: 1. 实时屏幕快照 IP-guard可以实时查看客户端的屏幕快照,并进行追踪查看。 2. 多屏监视查看 • IP-guard可以实时查看多个终端的屏幕画面,最多可支持对16台屏幕显示器的监控, 3. 屏幕历史记录 • IP-guard可以记录客户端的历史屏幕画面,根据不同应用实现变频记录;配合日志记录查看当时的屏幕情况;支持将屏幕历史转存为通用视频文件,并进行播放。 屏幕监控控功能作用:  实时屏幕监控 管理者可以实时查看终端的桌面情况,掌握终端电脑
ipguard 加密软件
sun007700的专栏
07-10 942
加密
IP-guard远程办公安全解决方案,守护远程办公信息安全
IP-Guard专栏
03-18 1470
疫情在多地反弹,部分疫情严重的地方不得不将工作转为线上远程办公。然而企业在采取远程办公模式时,大量未知设备远程接入企业内网,各项终端的操作应用也往往不在企业的管控范围内,很容易成为企业信息保护的缺口,威胁企业的机密安全。 远程办公安全风险: 1、不安全的终端设备接入企业网络 2、机密文档随意下载到私人电脑 3、打印机密文档导致信息泄露 4、截屏或录屏导致文档内容泄露 5、随意传输机密文档而无法追溯 6、随意访问核心服务器导致信息泄露 针对远程办公所面临的各类信息安全问题,IP-guard
互普威盾IP-guard VPlus文档加密解决方案_20160718
12-20
互普威盾IP-guard VPlus文档加密解决方案_20160718
互普威盾、IP-guard 分布式服务器使用说明
10-10
"互普威盾、IP-guard 分布式服务器使用说明" 互普威盾、IP-guard 分布式服务器是一款功能强大、灵活的网络安全解决方案,旨在提供高效、可靠的网络安全保护。下面是对该服务器的详细使用说明。 一、功能简介 互普...
最新版互普威盾IPguard4.81
最新发布
06-05
互普威盾IPguard是一款知名的文档安全管理系统,主要用于企业级的数据保护,特别是在信息安全领域有着广泛的应用。IPguard4.81是该软件的最新版本,它集成了多种功能,旨在提高企业的信息安全防护能力,防止敏感数据...
互普IP-guard V4.71版本更新历史说明_V4.71.0215
05-26
互普IP-guard是一款专业的内网安全管理系统,主要关注文档加密、终端管理和内网安全。本文将详细介绍V4.71.0215版本的主要功能改进和问题解决,以及之前的几个版本的重要更新。 在V4.71.0215版本中,互普IP-guard...
IP-GUARD V4.51新版本功能培训20200520.pptx
05-26
IP-GUARD是一款专业的信息安全管理系统,其V4.51版本带来了多项重要更新,特别是针对敏感内容识别功能的强化。该模块旨在帮助企业精准地识别和分类海量文件中的敏感信息,以便实施更有效的数据保护措施。 在V4.51...
IP-guard介绍
01-14
一款管理计算机内网安全介绍
ip-guard网络监控-管理利器--完美破解406用户.
12-20
ip-guard网络监控-管理利器--完美破解406用户. 本人用了一年
IP-guard文档安全项目部署前情况调查表.doc
05-18
IP-guard文档安全项目部署前情况调查表.doc
IP-guard文档安全项目实施计划.docx
04-09
①在客户没有SQL数据库安程序的情况下,我们提供免费版SQL SERVER,优先安版本更高的SQL SERVER。如果客户服务器机器上已经安了SQL SERVER数据库,而且有其它应用系统在使用,这时需要安一个新的数据库实例让服务器单独使用; ②备份服务器建议客户安,如没有安需要客户在上门部署服务单上确认,准入网关、安全网关和web服务器在购买对应的硬件设备时安; 项目组成员与责任 项目总负责人(光启公司信息安全部总监):负责项目总体计划的制定、项目启动会议的主导、关键项目节点协调、管理流程制定,项目总结汇报等环节; 项目经理(客户方文档安全项目负责人/IP-guard项目负责人):负责项目总体把控、项目进度跟踪、项目协调和推动、项目阶段计划与汇总报告,管理流程的确定等; 项目实施工程师(IP-guard资深工程师):负责实施方案和计划制定、项目具体实施部署、技术培训、提交项目阶段计划和总结等; 信息安全管理员(光启公司信息安全部技术人员):协助项目实施工程师进行部署实施,确认管理流程并提交项目经理和总负责人,后期的项目交接,项目应用和维护等。
ipguard软件
05-19
很好的的一款防护软件打架感兴趣都过来下载吧
IP-Guard 外发文件需要USBKey才能打开使用说明
10-10
IP-Guard 外发文件需USBKey打开使用详解》 IP-Guard是一款专业的信息安全解决方案,其中的外发文件管理功能允许用户通过USBKey来控制加密文档的访问,确保敏感信息的安全传播。这一功能旨在满足企业对数据保护的...
IP-guard用户系统,帮助企业统一管控终端。
IP-Guard专栏
09-02 601
在对员工终端计算机进行管理时,域环境和用户系统是非常重要的一部分,然而实际应用中很多公司的域管理或者用户系统管理经常会出现覆盖不全面的现象,有些公司甚至没有域和用户系统管理,这都会致使部分计算机脱离管控。 为让企业更好管控终端计算机,IP-guard专门推出了新的用户管理系统,员工如果使用本地账号登录计算机,可以强制要求必须输入AD域用户或IP-guard用户系统提供的账号和密码,验证通过后才解...
IP-guard建议配置及数据分析
IP-Guard专栏
06-13 869
IP-guard建议配置及数据分析 IP-guard服务器建议配置 主服务器规模 建议配置 100以内 CPU:双核或双CPU 内存:6G内存 存储:500GB或以上的可用硬盘空间 网卡:1000Mbps 100-500 CPU:双核或双CPU 内存:...
IP-GUARD模块详解-基本模块
IP-Guard专栏
12-23 574
1、产品注册完结束后就可以使用了,第一次进去用户名:admin 密码:空 2、点基本策略,点添加 3、例如:添加一条策略:禁止计算机192.168.1.30,打开控制面板,禁止修改IP/MAC地址,禁止查看设备管理器。 小结:基本模块可以控制客户端的参数很多,可以结合起来使用。 ...
互普威盾与IP-guard分布式服务器详解:架构优化与安步骤
互普威盾(IP-guard)和IP-guard ViaControl 的分布式服务器解决方案是一种先进的IT管理架构,旨在提升服务器的协作效率和集中控制。这种架构的核心转变在于引入了总服务器和总控制台的概念,取代了原有的独立服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值