开着拖拉机上班!

监控与反监控之道——IP-Guard

上一篇 / 下一篇  2010-07-16 23:44:28 / 个人分类:记事本

监控与反监控之道——IP-Guard

   出于信息安全的考虑,越来越多的企事业单位在员工的工作用电脑里面安装了监控软件,用来监控员工在电脑上的一切操作,并可以强制阻止员工上网、使用即时聊天软件等,还可以禁用受监控电脑的USB 移动存储接口和光驱;大多数员工对此当然不乐意,因此,监控与反监控之间的较量拉开了序幕!

   这里要说的是跟IP-Guard有关的。

   首先介绍一下这个监控软件的特点,以及主要模块或文件。

    IP-Guard的模块非常多,加载方法多种多样:

1.通过浏览器explorer.exe进程加载以下模块:

(这些模块在system32系统目录下)

thooksv3.dll ; tsysdrv.dll ; winhafnt.dll ; winusrmd.dll ; winhadnt.dll ; winencyx.dll ; winimhc3.dll ; msowcnv3.dll

注册表里面有一个键项用来加载监控模块(通过浏览器加载):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

比如:{AEB6717E-7E19-11d0-97EE-00C04FD91972},等等;

2 .通过svchost.exe系统进程加载监控模块

(这些模块也在system32系统目录下)

winhafnt.dll ; tsysdrv.dll ; winhadnt.dll

3 .通过输入法任务栏图标指示器ctfmon.exe加载监控模块

(这些模块同样在system32目录下)

thooksv3.dll ; tsysdrv.dll ; winimhc3.dll ; winhafnt.dll ; winhadnt.dll

4.  通过winlogon.exe系统进程加载以下监控模块

(在system32目录下 的模块)

winwdgv3.dll

5 .  通过系统服务项启动监控模块,

\Program Files\Common Files\System\winrdgv3.exewinwdgsvr.exe等,重点是winrdgv3.exe可执行文件,这是IP-Guard监控软件为数不多的可执行文件之一(其他几乎全部是dll和sys文件);

    对应的注册表键项是

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winhlpsvr

6 .  通过rundll32.exe 系统进程加载监控模块 ,加载成功后,任务管理器界面可以看到一到二个rundll32.exe 进程,这两个进程至少有一个不能终止掉;

7 .  驱动的形式在开机时自动加载,在设备管理器里面,显示隐藏设备后,在非即插即用驱动里面可以看到相应的隐藏“设备”;

加载的“驱动”在system32 \drivers目录里面,

tfsfltdrv.sys ; tpacket.sys ; tsysdrv.sys ; tvdisk.sys(这个不一定有);等等。

对应的注册表键项是:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TFsfltdrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPacket

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSysDrv

8 .监控端口一般用TCP 8237 端口和UDP 8235端口,也可以用TCP 8235端口;

常用的反监控方法:

1 .最多的是双系统法,一个系统安装监控,用来正常办公用,也用来应付网管;

一个系统不安装监控,用来上网,以及做跟工作无关的其他事情。

这种方法很容易被网管发觉。但是最简单。

2 .  软件散列规则法(或哈希规则法),运行Gpedit.msc

计算机配置→ windows设置 → 安全设置→ 软件限制策略→ 其他规则(如果没有这个选项,右键单击“软件限制策略”→ 添加策略)→

右键单击“其他规则”→新散列规则(或哈希规则)→ 浏览 → 系统盘:\Program Files\Common Files\System → 选中winrdgv3.exe ,打开,确定。

安全级别,不允许的。

用这种方法,至少可以达到取消上网限制的目的,可以自由上网,而且依然在服务器中显示为受监控状态;

3 .   NTFS权限法 :修改 \WINDOWS\system32系统目录下的 rundll32.exe 文件的NTFS权限,这种方法需要系统盘分区格式为NTFS 格式,先在文件夹选项→ 查看 界面,取消“使用简单文件夹共享”,然后,右键单击rundll32.exe 文件→ 属性 → 安全 → 高级→ 权限 → 取消“从父项继承…… ”→ 复制 → 返回到“安全”选项卡,把每个帐户的“读取和运行”权限取消(取消√),保留读取权限。重启后,就无法监控了,也可以自由上网了。但这时,在监控服务器上,显示为没有受监控。

    如果不是NTFS格式的分区,可以在CMD命令行窗口,用convert C: /fs:ntfs     命令转换。

4 .  用防火墙屏蔽端口法 :把本机和远程的8235 和 8237   端口屏蔽,包括TCP 和 UDP 端口;这样,被监控电脑就跟服务器失去联系了,但是,一旦重新连接服务器,监控数据仍然可能自动上传到服务器上,而且,一般不能解除被屏蔽的网络。

    也可以用IP安全策略屏蔽这两个端口。

5 .如果要彻底删除监控软件,根据上文提到的文件名称或模块名称,全部删除;

   并且删除上文中提到的注册表里面的键项。

   值得注意的是,系统盘:\Program Files\Common Files\System里面的winrdgv3.exe很难在被监控的系统已经启动的情况下删除,即使用最强的Unlocker 也不能删除。

   在PE系统或DOS下可以顺利删除。

   正常的卸载方法,是由网管通过服务器端进行卸载。自己卸载属于强制卸载。

说明:

    以上方法适用于专业版windows系统,如果是家庭版(home版)windows 系统,默认情况下没有组策略,连NTFS权限也不能正常使用。

       家庭版windows需要先恢复组策略功能,然后使用以上方法。恢复组策略的方法可以到网上搜索。

       也可以试试以下方法:

       把以下英文内容复制到记事本里面,另存为 “开启.reg”文件,然后双击这个文件,导入注册表:

       Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{483081c1-0289-438d-92f0-294425f46051}]
"LastModified"=hex(b):b2,4c,b5,87,97,15,ca,01
"Description"="winrdgv3.exe"
"FriendlyName"=" (3.1.2304.1)"
"SaferFlags"=dword:00000000
"ItemSize"=hex(b):73,20,03,00,00,00,00,00
"ItemData"=hex:e6,3f,82,5f,35,9c,0b,99,2d,f6,c7,d1,5c,9b,2e,c0
"HashAlg"=dword:00008003

     把以下内容复制到记事本里面,另存为“关闭.reg”文件,需要禁用IP-Guard的上网监控功能时,双击这个文件,导入注册表,重启windows,就可以正常上网了。要开启IP-Guard监控时,双击前面那个“开启.reg”文件,导入注册表,重启,就恢复监控了:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{483081c1-0289-438d-92f0-294425f46051}]
"LastModified"=hex(b):b2,4c,b5,87,97,15,ca,01
"Description"="winrdgv3.exe"
"FriendlyName"=" (3.1.2304.1)"
"SaferFlags"=dword:00000000
"ItemSize"=hex(b):73,20,03,00,00,00,00,00
"ItemData"=hex:e6,3f,82,5f,35,9c,0b,99,2d,f6,c7,d1,5c,9b,2e,c0
"HashAlg"=dword:00008003

    其实,这两个注册表文件的内容其实几乎是完全相同的,唯一的区别就是开启监控的那个注册表文件的最前面多了一个 - 号,关闭监控用的那个注册表文件最前面没有 - 号 。

       在进行以上操作时,很容易出现的错误操作就是把以上内容保存成了.txt 文本文件,文本文件是无法直接导入注册表的。打开“我的电脑”→ 工具 → 文件夹选项 → 查看 → 取消“隐藏已知文件类型的扩展名”后,就可以看到并修改文件的后缀,比如把后缀 .txt 改为 .reg 就变成了注册表文件。

结束语:

   不论采取何种措施对付监控软件,细心的网管肯定能知道,在上班期间,还是老老实实的做自己的本职工作,不要在网上瞎逛的好,单位要监控,就让他们监控去吧!

   只是,有时候的确是工作需要,急于要登陆一个网页,可偏偏被监控软件屏蔽了,这时候,自己动手,采取措施让监控软件暂时歇菜,也是可以谅解的!

组策略和注册表方法,对新版IP-Guard无效(需要用特别的方法)。

用NTFS权限限制rundll32.exe的方法,对新版依然有效。


TAG:

 

评分:0

我来说两句

Open Toolbar