电脑监控与反监控

《电脑监控与反监控》由会员分享，可在线阅读，更多相关《电脑监控与反监控（2页珍藏版）》请在金锄头文库上搜索。

1、IP-Guard - 电脑监控与反监控之道2010-09-18 09:16 出于信息安全的考虑，越来越多的企事业单位在员工的工作用电脑里面安装了监控软件，用来监控员 工在电脑上的一切操作，并可以强制阻止员工上网、使用即时聊天软件等，还可以禁用受监控电脑的USB 移动存储接口和光驱；大多数员工对此当然不乐意，因此，监控与反监控之间的较量拉开了序幕！ 这里要说的是跟 IP-Guard 有关的。首先介绍一下这个监控软件的特点，以及主要模块或文件。IP-Guard 的模块非常多，加载方法多种多样：1. 通过浏览器 explorer.exe 进程加载以下模块：（这些模块在 system32 系统目录下）

2、thooksv3.dll ; tsysdrv.dll ; winhafnt.dll ; winusrmd.dll ; winhadnt.dll ; winencyx.dll ;winimhc3.dll ; msowcnv3.dll 注册表里面有一个键项用来加载监控模块（通过浏览器加载）： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks比如：AEB6717E-7E19Tld0-97EE-00C04FD91972，等等；2 . 通过 svchost.exe 系统进程加载监控模块（这些

3、模块也在 system32 系统目录下）winhafnt.dll ; tsysdrv.dll ; winhadnt.dll3 . 通过输入法任务栏图标指示器 ctfmon.exe 加载监控模块（这些模块同样在 system32 目录下）thooksv3.dll ; tsysdrv.dll ; winimhc3.dll ; winhafnt.dll ; winhadnt.dll4. 通过 winlogon.exe 系统进程加载以下监控模块（在 system32 目录下 的模块）winwdgv3.dll5 . 通过系统服务项启动监控模块，Program FilesCommon FilesSyste

4、mwinrdgv3.exe 、 winwdgsvr.exe 等，重点是 winrdgv3.exe 可执行文件，这是IP-Guard监控软件为数不多的可执行文件之一（其他几乎全部是dll和sys文件）； 对应的注册表键项是HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinhlpsvr6 . 通过 rundll32.exe 系统进程加载监控模块 ，加载成功后，任务管理器界面可以看到一到二个 rundll32.exe 进程，这两个进程至少有一个不能终止掉；7. 以驱动的形式在开机时自动加载，在设备管理器里面，显示隐藏设备后，在非即插即用驱动里面

5、可以看到相应的隐藏“设备”；加载的“驱动”在 system32 drivers 目录里面，tfsfltdrv.sys ; tpacket.sys ; tsysdrv.sys ; tvdisk.sys （这个不一定有）；等等。 对应的注册表键项是：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTFsfltdrvHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTPacketHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTSysDrv8 .监控端口

6、一般用TCP 8237端口和UDP 8235端口，也可以用TCP 8235端口； 常用的反监控方法：1 . 最多的是双系统法，一个系统安装监控，用来正常办公用，也用来应付网管； 一个系统不安装监控，用来上网，以及做跟工作无关的其他事情。这种方法很容易被网管发觉。但是最简单。2 .软件散列规则法（或哈希规则法），运行Gpedit.msc计算机配置一windows设置-安全设置一软件限制策略一其他规则（如果没有这个选项，右键 单击“软件限制策略添加策略）一右键单击“其他规则” 一新散列规则（或哈希规则）一浏览 一系统盘：Program FilesCommon FilesSystem 选中 winr

7、dgv3.exe，打开，确定。一 安全级别，不允许的。 用这种方法，至少可以达到取消上网限制的目的，可以自由上网，而且依然在服务器中显示为受监控 状态；3 . NTFS权限法：修改WINDOWSsystem32系统目录下的rundll32.exe文件的NTFS权限，这种 方法需要系统盘分区格式为 NTFS 格式，先在文件夹选项一 查看 界面，取消“使用简单文件夹共 享”，然后，右键单击 rundll32.exe 文件一 属性 一 安全 一 高级一 权限 一 取消“从父项继 承”一复制一返回到“安全”选项卡，把每个帐户的“读取和运行”权限取消（取消丁）， 保留读取权限。重启后，就无法监控了，也可

8、以自由上网了。但这时，在监控服务器上，显示为没有 受监控。如果不是NTFS格式的分区，可以在CMD命令行窗口，用convert C: /fs:ntfs命令转换。4.用防火墙屏蔽端口法：把本机和远程的8235和8237端口屏蔽，包括TCP和UDP端口；这样， 被监控电脑就跟服务器失去联系了，但是，一旦重新连接服务器，监控数据仍然可能自动上传到服务 器上，而且，一般不能解除被屏蔽的网络。也可以用IP安全策略屏蔽这两个端口。5 . 如果要彻底删除监控软件，根据上文提到的文件名称或模块名称，全部删除； 并且删除上文中提到的注册表里面的键项。值得注意的是，系统盘：Program FilesCommon

9、FilesSystem里面的winrdgv3.exe很难在被监控 的系统已经启动的情况下删除，即使用最强的Unlocker也不能删除。在PE系统或DOS下可以顺利删除。 正常的卸载方法，是由网管通过服务器端进行卸载。自己卸载属于强制卸载。结束语： 不论采取何种措施对付监控软件，细心的网管肯定能知道，在上班期间，还是老老实实的做自己的本 职工作，不要在网上瞎逛的好，单位要监控，就让他们监控去吧！ 只是，有时候的确是工作需要，急于要登陆一个网页，可偏偏被监控软件屏蔽了，这时候，自己采取 措施让监控软件暂时歇菜，也是可以谅解的！自己可以观察网络啊。比如你在不访问网络时（局域网吧）打开 cmd。打入 netstat -an会有连接你电脑的ip跳出来。如果有人监视你，你一定看的到！如果知道是你公司的某个ip连着你的某个端口。你放火墙设置下把那个端口关掉。或者是 ip规则里禁止，或者是连着你端口的那个进程禁止！或者装个防火墙公司很难监控你,但可以查到你电脑里面的系统日志,那里面记录着你一些操作记录,比如开 机,关机,简单的一些.但你要是不放心就重装一次系统,加个密码就没问题了. 它是可以看见你上了哪些网站，但是它是不能看见你所聊天的类容的 除非给你机器上装个远程控制的客户端，那他们的控制权就和你一样了 我们公司的网管也是一样的恶心，不过你可以试试这个办法