IP-Guard - 电脑监控与反监控之道
2010-09-18 09:16
出于信息安全的考虑,越来越多的企事业单位在员工的工作用电脑里面安装了监控软件,用来监控员工在电脑上的一切操作,并可以强制阻止员工上网、使用即时聊天软件等,还可以禁用受监控电脑的USB 移动存储接口和光驱;大多数员工对此当然不乐意,因此,监控与反监控之间的较量拉开了序幕! 这里要说的是跟IP-Guard有关的。 首先介绍一下这个监控软件的特点,以及主要模块或文件。 IP-Guard的模块非常多,加载方法多种多样: 1. 通过浏览器 进程加载以下模块: thooksv3.dll ; tsysdrv.dll ; winhafnt.dll ; winusrmd.dll ; winhadnt.dll ; winencyx.dll ; winimhc3.dll ; msowcnv3.dll 注册表里面有一个键项用来加载监控模块(通过浏览器加载): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 比如:{AEB6717E-7E19-11d0-97EE-00C04FD91972},等等; 2 . 通过 系统进程加载监控模块 (这些模块也在system32 系统目录下) winhafnt.dll ; tsysdrv.dll ; winhadnt.dll 3 . 通过输入法任务栏图标指示器 加载监控模块 (这些模块同样在system32 目录下) thooksv3.dll ; tsysdrv.dll ; winimhc3.dll ; winhafnt.dll ; winhadnt.dll 4. 通过 系统进程加载以下监控模块 欧豪女朋友(在system32 目录下 的模块) winwdgv3.dll 5 . 通过系统服务项启动监控模块, \Program Files\Common Files\ 、 等,重点是可执行文件,这是IP-Guard监控软件为数不多的可执行文件之一(其他几乎全部是dll和sys文件); 对应的注册表键项是 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winhlpsvr 6 . 通过 系统进程加载监控模块 ,加载成功后,任务管理器界面可以看到一到二个 进程,这两个进程至少有一个不能终止掉; 7 . 以驱动的形式在开机时自动加载,在设备管理器里面,显示隐藏设备后,在非即插即用驱动里面可以看到相应的隐藏“设备”; 加载的“驱动”在system32 \ drivers 目录里面, tfsfltdrv.sys ; tpacket.sys ; tsysdrv.sys ; tvdisk.sys (这个不一定有);等等。 对应的注册表键项是: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TFsfltdrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPacket HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSysDrv 8 . 监控端口一般用TCP 8237 端口和UDP 8235端口,也可以用TCP 8235端口; 常用的反监控方法: 1 . 最多的是双系统法,一个系统安装监控,用来正常办公用,也用来应付网管; 一个系统不安装监控,用来上网,以及做跟工作无关的其他事情。 这种方法很容易被网管发觉。但是最简单。 2 . 软件散列规则法(或哈希规则法),运行Gpedit.msc 计算机配置→ windows设置 → 安全设置→ 软件限制策略→ 其他规则(如果没有这个选项,右键单击“软件限制策略”→ 添加策略)→ 右键单击“其他规则”→新散列规则(或哈希规则)→ 浏览 → 系统盘:\Program Files\Common Files\System → 选中 ,打开,确定。 → 樱桃番茄安全级别,不允许的。 用这种方法,至少可以达到取消上网限制的目的,可以自由上网,而且依然在服务器中显示为受监控状态; 3 . NTFS权限法 :修改 \WINDOWS\system32汪东城整容系统目录下的 文件的NTFS权限,这种方法需要系统盘分区格式为NTFS 格式,先在文件夹选项→ 查看 界面,取消“使用简单文件夹共享”,然后,右键单击 文件→ 属性 → 安全 → 高级→ 权限 → 取消“匮怎么读从父项继承…… ”→ 复制 → 返回到“安全”选项卡,把每个帐户的“读取和运行”权限取消(取消√),保留读取权限。重启后,就无法监控了,也可以自由上网了。但这时,在监控服务器上,显示为没有受监控。 如果不是NTFS格式的分区,可以在CMD命令行窗口,用convert C: /fs:ntfs 命令转换。 4 . 用防火墙屏蔽端口法 :把本机和远程的8235 和 8237 端口屏蔽,包括TCP 和 UDP 端口;这样,被监控电脑就跟服务器失去联系了,但是,一旦重新连接服务器,监控数据仍然可能自动上传到服务器上,而且,一般不能解除被屏蔽的网络。 也可以用IP安全策略屏蔽这两个端口。 5 . 如果要彻底删除监控软件,根据上文提到的文件名称或模块名称,全部删除; 并且删除上文中提到的注册表里面的键项。 值得注意的是,系统盘:\Program Files\Common Files\System 里面的 很难在被监控的系统已经启动的情况下删除,即使用最强的Unlocker 也不能删除。 在PE系统或DOS下可以顺利删除。 正常的卸载方法,是由网管通过服务器端进行卸载。自己卸载属于强制卸载。 钉宫理惠的动漫结束语: 不论采取何种措施对付监控软件,细心的网管肯定能知道,在上班期间,还是老老实实的做自己的本职工作,不要在网上瞎逛的好,单位要监控,就让他们监控去吧! 只是,有时候的确是工作需要,急于要登陆一个网页,可偏偏被监控软件屏蔽了,这时候,自己采取措施让监控软件暂时歇菜,也是可以谅解的! |
自己可以观察网络啊。比如你在不访问网络时(局域网吧)
打开cmd。打入netstat -an
会有连接你电脑的ip跳出来。。
如果有人监视你,你一定看的到!!
如果知道是你公司的某个ip连着你的某个端口。你放火墙设置下把那个端口关掉。或者是ip规则里禁止,或者是连着你端口的那个进程禁止!
或者装个防火墙
公司很难监控你,但可以查到你电脑里面的系统日志电脑ip,那里面记录着你一些操作记录,比如开机,关机,简单的一些.但你要是不放心就重装一次系统,加个密码就没问题了.
它是可以看见你上了哪些网站,但是它是不能看见你所聊天的类容的
除非给你机器上装个远程控制的客户端,那他们的控制权就和你一样了
我们公司的网管也是一样的恶心,不过你可以试试这个办法
打开cmd。打入netstat -an
会有连接你电脑的ip跳出来。。
如果有人监视你,你一定看的到!!
如果知道是你公司的某个ip连着你的某个端口。你放火墙设置下把那个端口关掉。或者是ip规则里禁止,或者是连着你端口的那个进程禁止!
或者装个防火墙
公司很难监控你,但可以查到你电脑里面的系统日志电脑ip,那里面记录着你一些操作记录,比如开机,关机,简单的一些.但你要是不放心就重装一次系统,加个密码就没问题了.
它是可以看见你上了哪些网站,但是它是不能看见你所聊天的类容的
除非给你机器上装个远程控制的客户端,那他们的控制权就和你一样了
我们公司的网管也是一样的恶心,不过你可以试试这个办法
发布评论