电脑监控与反监控之道.doc

IP-Guard - 电脑监控与反监控之道 2010-09-18 09:16 出于信息安全的考虑，越来越多的企事业单位在员工的工作用电脑里面安装了监控软件，用来监控员工在电脑上的一切操作，并可以强制阻止员工上网、使用即时聊天软件等，还可以禁用受监控电脑的USB 移动存储接口和光驱；大多数员工对此当然不乐意，因此，监控与反监控之间的较量拉开了序幕！ 这里要说的是跟IP-Guard有关的。 首先介绍一下这个监控软件的特点，以及主要模块或文件。 IP-Guard的模块非常多，加载方法多种多样： 1. 通过浏览器explorer.exe 进程加载以下模块： （这些模块在system32 系统目录下） thooksv3.dll ; tsysdrv.dll ; winhafnt.dll ; winusrmd.dll ; winhadnt.dll ; winencyx.dll ; winimhc3.dll ; msowcnv3.dll 注册表里面有一个键项用来加载监控模块（通过浏览器加载）： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 比如：{AEB6717E-7E19-11d0-97EE-00C04FD91972}，等等； 2 . 通过svchost.exe 系统进程加载监控模块 （这些模块也在system32 系统目录下） winhafnt.dll ; tsysdrv.dll ; winhadnt.dll 3 . 通过输入法任务栏图标指示器ctfmon.exe 加载监控模块 （这些模块同样在system32 目录下） thooksv3.dll ; tsysdrv.dll ; winimhc3.dll ; winhafnt.dll ; winhadnt.dll 4. 通过winlogon.exe 系统进程加载以下监控模块 （在system32 目录下 的模块） winwdgv3.dll 5 . 通过系统服务项启动监控模块， \Program Files\Common Files\System\winrdgv3.exe 、 winwdgsvr.exe 等，重点是winrdgv3.exe可执行文件，这是IP-Guard监控软件为数不多的可执行文件之一（其他几乎全部是dll和sys文件）； 对应的注册表键项是 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winhlpsvr 6 . 通过rundll32.exe 系统进程加载监控模块 ，加载成功后，任务管理器界面可以看到一到二个rundll32.exe 进程，这两个进程至少有一个不能终止掉； 7 . 以驱动的形式在开机时自动加载，在设备管理器里面，显示隐藏设备后，在非即插即用驱动里面可以看到相应的隐藏“设备”； 加载的“驱动”在system32 \ drivers 目录里面， tfsfltdrv.sys ; tpacket.sys ; tsysdrv.sys ; tvdisk.sys （这个不一定有）；等等。 对应的注册表键项是： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TFsfltdrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPacket HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSysDrv 8 . 监控端口一般用TCP 8237 端口和UDP 8235端口，也可以用TCP 8235端口； 常用的反监控方法： 1 . 最多的是双系统法，一个系统安装监控，用来正常办公用，也用来应付网管； 一个系统不安装监控，用来上网，以及做跟工作无关的其他事情。 这种方法很容易被网管发觉。但是最简单。 2 . 软件散列规则法（或哈希规则法），运行Gpedit.msc 计算机配置→ windows设置 → 安全设置→ 软件限制策略→ 其他规则（如果没有这个选项，右键单击“软件限制策略”→ 添加策略）→ 右键单击“其他规则”→新散列规则（或哈希规则）→ 浏览 → 系统盘:\Program Files\Common Files\System → 选中winrdgv3.exe ，打开，确定。 → 安全级别，不允许的。 用这种方法，至少可以达到取消上网限制的目的，可以自由上网，而且依然在服务器中显示为受监控状态； 3 . NTFS权限法 ：修改 \WINDOWS\system32系统目录下的 rundll32.exe 文件的N