原創:星綻紫輝 http://www.shnenglu.com/rawdata 2009-2-5
本文章僅用于技術交流。
關鍵字: IP Guard 客戶機 卸載
IP Guard客戶端在XP下無法直接卸載,而且其監控功能非常強大和全面,但是特別令人不舒服:所有的操作都被服務器端一覽無遺,其行為和木馬無本質區別。而且只有第一個服務器才能卸載對應的客戶機。
分析IP Guard 的安裝程序包,發現類似于inno的打包方式,用PEID偵測,果然是用inno打的包,而且沒有任何的加密措施。
用Inno Setup Unpacker Explorer解包,所有安裝的文件一覽無遺。用PEID偵測,全部沒有加殼,目錄如下:
1. {app}
2. {cf}
3. {sys}
4. {win}
5. embedded
每個符號的意義可以在Inno的使用幫助中查閱。
在各個目錄下,所有的安裝文件都可以找到,而且沒有殼(我不明白為什么它不加殼?為什么不注重自身的安全?),只要刪除對應的文件和注冊表項目,可以達到清除的目的(如果無法刪除,可以嘗試在安全模式下刪除)。但是,如果是聯網狀態,服務器可能繼續強制安裝監控客戶端,這一點由于時間原因還未進一步測試。
在{win}下有一個名為ClrAgNet.exe的文件,可以卸載,它提供客戶機單獨模塊和全部模塊的卸載,但是需要密碼,它會給你一個Image ID,然后你必須根據該ID從服務器得到卸載密碼,然后才能直接徹底卸載。
后記1:經過測試服務器還是可以獲得其屏幕,可以對其鎖定,但是上網和QQ記錄不能正常工作.說明驅動沒有刪除干凈,難道是運行時備份?
最后在OD幫助下卸載了。截圖如下:
