星绽紫辉(rawdata)的Blog

快乐地学习,快乐地工作!

  C++博客 :: 首页 :: 联系 :: 聚合  :: 管理
  16 Posts :: 0 Stories :: 37 Comments :: 0 Trackbacks

常用链接

留言簿(5)

我参与的团队

搜索

  •  

最新评论

阅读排行榜

评论排行榜

    
        原创:星绽紫辉 http://www.cppblog.com/rawdata   2009-2-5

        本文章仅用于技术交流。

        关键字: IP Guard 客户机 卸载

        IP Guard客户端在XP下无法直接卸载,而且其监控功能非常强大和全面,但是特别令人不舒服:所有的操作都被服务器端一览无遗,其行为和木马无本质区别。而且只有第一个服务器才能卸载对应的客户机。

        分析IP Guard 的安装程序包,发现类似于inno的打包方式,用PEID侦测,果然是用inno打的包,而且没有任何的加密措施。

         用Inno Setup Unpacker Explorer解包,所有安装的文件一览无遗。用PEID侦测,全部没有加壳,目录如下:
      
          1. {app}
          2. {cf}
          3. {sys}
          4. {win}
          5. embedded

         每个符号的意义可以在Inno的使用帮助中查阅。

          在各个目录下,所有的安装文件都可以找到,而且没有壳(我不明白为什么它不加壳?为什么不注重自身的安全?),只要删除对应的文件和注册表项目,可以达到清除的目的(如果无法删除,可以尝试在安全模式下删除)。但是,如果是联网状态,服务器可能继续强制安装监控客户端,这一点由于时间原因还未进一步测试。

        在{win}下有一个名为ClrAgNet.exe的文件,可以卸载,它提供客户机单独模块和全部模块的卸载,但是需要密码,它会给你一个Image ID,然后你必须根据该ID从服务器得到卸载密码,然后才能直接彻底卸载。


 后记1:经过测试服务器还是可以获得其屏幕,可以对其锁定,但是上网和QQ记录不能正常工作.说明驱动没有删除干净,难道是运行时备份?

最后在OD帮助下卸载了。截图如下:

        
posted on 2009-02-05 10:32 星绽紫辉 阅读(7275) 评论(5)  编辑 收藏 引用

Feedback

# re: 如何卸载 IP GUARD 2.82.0824 客户端 2009-03-10 22:29 jj
拜读
请问:
最后的password是从何得到的,不会是网管吧?
  回复  更多评论
  

# re: 如何卸载 IP GUARD 2.82.0824 客户端 2009-03-11 14:59 星绽紫辉
是调试过去的,任何密码都可以。  回复  更多评论
  

# re: 如何卸载 IP GUARD 2.82.0824 客户端 2009-03-16 22:00 jj
再拜
小弟初学,就碰到这个棘手活
请问所谓调试是指?或者有什么学习资料或参考资料能够告知小弟学习一二  回复  更多评论
  

# re: 如何卸载 IP GUARD 2.82.0824 客户端 2009-03-17 10:29 星绽紫辉
可以去看看‘看雪’的《加密解密技术》、邪恶八进制的论坛。主要工具是windbg、OD、softice等。  回复  更多评论
  

# re: 如何卸载 IP GUARD 2.82.0824 客户端[未登录] 2010-05-07 15:33 老王
有没有不破解密码的方法?或者密码很强破解起来太费劲怎么办?
能不能用xuetr教教我们啊?我们都是电脑菜鸟。。。。。。  回复  更多评论
  


只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   博问   Chat2DB   管理