返回
电脑监控与反监控之道.doc

电脑监控与反监控之道.doc

ID:56006196

大小:40.45 KB

页数:3页

时间:2020-03-15

电脑监控与反监控之道.doc_第1页
电脑监控与反监控之道.doc_第2页
电脑监控与反监控之道.doc_第3页
资源描述:

《电脑监控与反监控之道.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、IP-Guard-电脑监控与反监控之道2010-09-1809:16出于信息安全的考虑,越来越多的企事业单位在员工的工作用电脑里面安装了监控软件,用来监控员工在电脑上的一切操作,并可以强制阻止员工上网、使用即时聊天软件等,还可以禁用受监控电脑的USB移动存储接口和光驱;大多数员工对此当然不乐意,因此,监控与反监控之间的较量拉开了序幕!这里要说的是跟IP-Guard有关的。首先介绍一下这个监控软件的特点,以及主要模块或文件。IP-Guard的模块非常多,加载方法多种多样:1.通过浏览器explorer.exe进程加载以下模块:(这些模块在system32系统目录下)thooksv3.dll;t

2、sysdrv.dll;winhafnt.dll;winusrmd.dll;winhadnt.dll;winencyx.dll;winimhc3.dll;msowcnv3.dll注册表里面有一个键项用来加载监控模块(通过浏览器加载):HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks比如:{AEB6717E-7E19-11d0-97EE-00C04FD91972},等等;2.通过svchost.exe系统进程加载监控模块(这些模块也在system32系统目录下)winha

3、fnt.dll;tsysdrv.dll;winhadnt.dll3.通过输入法任务栏图标指示器ctfmon.exe加载监控模块(这些模块同样在system32目录下)thooksv3.dll;tsysdrv.dll;winimhc3.dll;winhafnt.dll;winhadnt.dll4.通过winlogon.exe系统进程加载以下监控模块(在system32目录下的模块)winwdgv3.dll5.通过系统服务项启动监控模块,ProgramFilesCommonFilesSystemwinrdgv3.exe、winwdgsvr.exe等,重点是winrdgv3.exe可执行文

4、件,这是IP-Guard监控软件为数不多的可执行文件之一(其他几乎全部是dll和sys文件);对应的注册表键项是HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinhlpsvr6.通过rundll32.exe系统进程加载监控模块,加载成功后,任务管理器界面可以看到一到二个rundll32.exe进程,这两个进程至少有一个不能终止掉;7.以驱动的形式在开机时自动加载,在设备管理器里面,显示隐藏设备后,在非即插即用驱动里面可以看到相应的隐藏“设备”;加载的“驱动”在system32drivers目录里面,tfsfltdrv.sys;t

5、packet.sys;tsysdrv.sys;tvdisk.sys(这个不一定有);等等。对应的注册表键项是:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTFsfltdrvHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTPacketHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTSysDrv8.监控端口一般用TCP8237端口和UDP8235端口,也可以用TCP8235端口;常用的反监控方法:1.最多的是双系统法

6、,一个系统安装监控,用来正常办公用,也用来应付网管;一个系统不安装监控,用来上网,以及做跟工作无关的其他事情。这种方法很容易被网管发觉。但是最简单。2.软件散列规则法(或哈希规则法),运行Gpedit.msc计算机配置→windows设置→安全设置→软件限制策略→其他规则(如果没有这个选项,右键单击“软件限制策略”→添加策略)→右键单击“其他规则”→新散列规则(或哈希规则)→浏览→系统盘:ProgramFilesCommonFilesSystem→选中winrdgv3.exe,打开,确定。→安全级别,不允许的。用这种方法,至少可以达到取消上网限制的目的,可以自由上网,而且依然在服务器中

7、显示为受监控状态;3.NTFS权限法:修改WINDOWSsystem32系统目录下的rundll32.exe文件的NTFS权限,这种方法需要系统盘分区格式为NTFS格式,先在文件夹选项→查看界面,取消“使用简单文件夹共享”,然后,右键单击rundll32.exe文件→属性→安全→高级→权限→取消“从父项继承……”→复制→返回到“安全”选项卡,把每个帐户的“读取和运行”权限取消(取消√),保留读取权限。重启

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。