原创:星绽紫辉 http://www.cppblog.com/rawdata 2009-2-5
本文章仅用于技术交流。
关键字: IP Guard 客户机 卸载
IP Guard客户端在XP下无法直接卸载,而且其监控功能非常强大和全面,但是特别令人不舒服:所有的操作都被服务器端一览无遗,其行为和木马无本质区别。而且只有第一个服务器才能卸载对应的客户机。
分析IP Guard 的安装程序包,发现类似于inno的打包方式,用PEID侦测,果然是用inno打的包,而且没有任何的加密措施。
用Inno Setup Unpacker Explorer解包,所有安装的文件一览无遗。用PEID侦测,全部没有加壳,目录如下:
1. {app}
2. {cf}
3. {sys}
4. {win}
5. embedded
每个符号的意义可以在Inno的使用帮助中查阅。
在各个目录下,所有的安装文件都可以找到,而且没有壳(我不明白为什么它不加壳?为什么不注重自身的安全?),只要删除对应的文件和注册表项目,可以达到清除的目的(如果无法删除,可以尝试在安全模式下删除)。但是,如果是联网状态,服务器可能继续强制安装监控客户端,这一点由于时间原因还未进一步测试。
在{win}下有一个名为ClrAgNet.exe的文件,可以卸载,它提供客户机单独模块和全部模块的卸载,但是需要密码,它会给你一个Image ID,然后你必须根据该ID从服务器得到卸载密码,然后才能直接彻底卸载。
后记1:经过测试服务器还是可以获得其屏幕,可以对其锁定,但是上网和QQ记录不能正常工作.说明驱动没有删除干净,难道是运行时备份?
最后在OD帮助下卸载了。截图如下: