注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

Emix

Let Your Creativity Fly...

 
 
 

日志

 
 

如何让公司安装的威盾监视软件瘫痪或者卸载 091201更新  

2009-07-22 20:28:33|  分类: PC 软件技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

很多公司用过这个名字叫做Viacontrol 威盾 网络监控, 邮件监控, 网络安全, 电子文档安全, 局域网安全, 网络管理软件,基本安装后被监视的机器基本都体现不出任何迹象,而且隐藏的也比较深,可以说和时下很火的《绿坝花季护航》差不多,基本在公司用也就是屏蔽usb端口,禁止工作时间上网,实时检测。总之,给员工带来了一些不适,比如临时手头没工作,上个网学习学习。
    话不多说。入题。关键词:TEC Solutions limited[这是安装软件的其中一个公司标识]
进入如图所示的位置找到上面的两个systec.exe和winrdg32.exe文件[除此两个文件其他的不用参考,由于我的测试机器是多国语言版的xp所以和您的多少有点出入],然后删除他们俩个,然后创建两个同名的文件夹。[原理类似autorun的免疫一样,可以防止程序钩子查出该项目缺失重建]
如何让公司安装的威盾监视软件瘫痪 - EMiX - PSP wiki博客 by 刘莹
创建后效果如下图上面所示。
如何让公司安装的威盾监视软件瘫痪 - EMiX - PSP wiki博客 by 刘莹
下面就是主要的几个动态连接库文件,这几个文件不是说删除就删除的,要用到文件粉碎工具,这样才可以彻底删除。这里我用的是360超级粉碎软件(下载地址:http://www.brsbox.com/filebox/down/fc/05deedb0f1a42be73e90b4d5eefe5bdf)。然后将图示的几个文件拖进去[您可以用windows的搜索功能输入下面的几个文件名字,可以速度的找到winhaf9.dll,winhafn.dll,orcshook.dll,orcsdll.dll,winoa32.dll],都拉进去后点粉碎文件。[我用的是多国语言版本xp所以360超级粉碎自动变为英文版,如果您的电脑是中文版的就会回到中文版的360超级粉碎]具体如下图,
如何让公司安装的威盾监视软件瘫痪 - EMiX - PSP wiki博客 by 刘莹

最后一步是为了保全起见,您还记得起初的关键词[TEC Solutions limited]吗,为什么这么说,个别情况,这个软件会创建一个服务项目来防止被咔嚓掉。
找到运行项目,或者直接用快捷键Win[窗口键windows小标记的那个]+R
如何让公司安装的威盾监视软件瘫痪 - EMiX - PSP wiki博客 by 刘莹

然后找到服务标签,将下面的“隐藏microsoft服务项目”前点上对勾,这样可以方便筛选。找到制造商是TEC Solutions limited的。然后将其前面的对勾取消掉,最后确定了,点应用-》确定。然后,参照提示重启机器。
您可以越狱了。[下面的服务项目不一定和我的一样,主要参考制造商TEC Solutions limited]
如何让公司安装的威盾监视软件瘫痪 - EMiX - PSP wiki博客 by 刘莹

我现在是在苏州三和集团的三和科技上班,公司于5月份装了该软件,由于本人对软件感兴趣,所以用微点主动防御发现了威盾的一些主要特征,特此写了一这么一个文章,消遣消遣。我花了一个月时间在自己家的机器安装测试,然后又在公司多个机器成功越狱,所以才有点底气写了这个。如果那位有识之士,知道的更加详细,而且不吝赐教,可以和我联系一下,或者留下联系方式,我主动的联系您。
我的qq:44894835
我的mail:liuyingxianglan@163.com

 

下面是关于ip-guard的分析

启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{A16CA976-4B8D-47FC-A9F4-651C17B636EF}><C:\WINDOWS\system32\msowcnv3.dll>  [TEC Solutions Limited.]
==================================
服务
[Windows Helper Service / Winhlpsvr][Stopped/Auto Start]
  <C:\Program Files\Common Files\System\winrdgv3.exe><TEC Solutions Limited.>
==================================
驱动程式
[TFsfltdrv / TFsfltdrv][Running/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\tfsfltdrv.sys><TEC Solutions Limited.>
[TPacket Driver / TPacket][Running/Boot Start]
  <\SystemRoot\System32\Drivers\tpacket.sys><TEC Solutions Limited.>
[TSysDrv / TSysDrv][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\TSysDrv.sys><TEC Solutions Limited.>
==================================
正在運行的進程
[PID: 456 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\winwdgv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
[PID: 1556 / kanjian][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\msowcnv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winencyx.dll]  [TEC Solutions Limited., 3, 0, 1016, 0]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
[PID: 1972 / kanjian][C:\Program Files\ClamWin\bin\ClamTray.exe]  [alch, 0.93.1.0]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
[PID: 1984 / kanjian][d:\Program Files\TortoiseSVN\bin\TSVNCache.exe]  [www.tortoisesvn.org, 1, 4, 8, 12137]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
[PID: 1992 / SYSTEM][C:\WINDOWS\system32\rundll32.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\winoav3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tpacketd.dll]  [TEC Solutions Limited., 3, 0, 1030, 0]
    [C:\WINDOWS\system32\tsafenet.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winncap3.dll]  [TEC Solutions Limited, 3, 0, 1211, 2131]
[PID: 2024 / kanjian][C:\WINDOWS\system32\igfxtray.exe]  [Intel Corporation, 3,0,0,1773]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
[PID: 2040 / kanjian][C:\WINDOWS\system32\hkcmd.exe]  [Intel Corporation, 3,0,0,1773]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
[PID: 224 / kanjian][D:\My Documents\msn\msn\msnmsgr.exe]  [Microsoft Corporation, 8.5.1288.0816]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
    [C:\WINDOWS\system32\winimhcd.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
[PID: 280 / kanjian][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
[PID: 1260 / SYSTEM][C:\WINDOWS\system32\Rundll32.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\winoauv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\orcs3dll.dll]  [TEC Solutions Limited., 3, 0, 1127, 0]
    [C:\WINDOWS\system32\orcshk3.dll]  [TEC Solutions Limited., 3, 0, 1127, 0]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\oagentud.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winimhs3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
[PID: 2720 / kanjian][C:\Program Files\TEC\IPguard3\OConsole3.exe]  [TEC Solutions Limited, 3, 0, 1226, 0]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
[PID: 1272 / kanjian][C:\Program Files\Messenger\msmsgs.exe]  [Microsoft Corporation, 4.7.3001]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winimhcd.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
[PID: 2272 / kanjian][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
[PID: 3332 / kanjian][C:\WINDOWS\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
[PID: 4064 / kanjian][D:\裝機軟件\tool\ProcessExplorer\procexp.exe]  [Sysinternals - www.sysinternals.com, 11.20]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
[PID: 1704 / kanjian][D:\裝機軟件\tool\sreng2\SREngPS.EXE]  [Smallfrogs Studio, 2.5.16.900]
    [C:\WINDOWS\system32\winimhc3.dll]  [TEC Solutions Limited., 3, 0, 2124, 0]
    [C:\WINDOWS\system32\thooksv3.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\tsysdrv.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhafnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
    [C:\WINDOWS\system32\winhadnt.dll]  [TEC Solutions Limited., 3, 0, 1211, 2131]
==================================
進程特權掃描
特殊特權被允許: SeLoadDriverPrivilege [PID = 1984, D:\PROGRAM FILES\TORTOISESVN\BIN\TSVNCACHE.EXE]
特殊特權被允許: SeLoadDriverPrivilege [PID = 224, D:\MY DOCUMENTS\MSN\MSN\MSNMSGR.EXE]
特殊特權被允許: SeLoadDriverPrivilege [PID = 2720, C:\PROGRAM FILES\TEC\IPGUARD3\OCONSOLE3.EXE]

==================================
API HOOK
入口點錯誤:DeleteFileW (危險等級: 高,  被下麵模組所HOOK: C:\WINDOWS\system32\winhadnt.dll)
入口點錯誤:FindFirstFileExW (危險等級: 高,  被下麵模組所HOOK: C:\WINDOWS\system32\winhadnt.dll)
入口點錯誤:CreateFileW (危險等級: 高,  被下麵模組所HOOK: C:\WINDOWS\system32\winhadnt.dll)
入口點錯誤:CopyFileExW (危險等級: 高,  被下麵模組所HOOK: C:\WINDOWS\system32\winhadnt.dll)
入口點錯誤:SHFileOperationW (危險等級: 高,  被下麵模組所HOOK: C:\WINDOWS\system32\winhadnt.dll)


PS:另有一个办法用卡巴斯基互联网套装,用里面的端口控制,把威盾的端口8237禁止就可以了。这个方法不一定都管用;再者就看下面的评论。还有一个日期法可以清理干净。为了数据安全,大家最好先备份一些重要数据。

 

重要提示:上面针对的威盾版本不一样,有的自动升级版本的,要用到工具wsyscheck(下载地址http://www.brsbox.com/filebox/down/fc/917d126071bd6a80ca302ed3ab839355)下载后进入文件浏览模式点右键直接删除C:\WINDOWS\system32\drivers\文件夹内的tfsfltdrv.sys,tpacket.sys,TSysDrv.sys三个文件。即可越狱。

 

深度技术软件论坛交流链接:http://bbs.deepin.org/thread-768013-1-1.html

09年12月1日更新:卸载威盾方法=》请点击下面链接

http://liuyingxianglan.blog.163.com/blog/static/8155377200711074711210/

  评论这张
 
阅读(2801)| 评论(9)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017