|
阅读:1146回复:6
防护间谍软件3721的方法
防护间谍软件3721的方法
作者:无名 笔者在最近工作中也涉及对3721软件的防护和研究,我对上述各种方法做了测试,反馈一和反馈二中方法用Spy Weeper 和NoAdware防间谍软件都是无法根除3721的,这个原因在反馈三中有叙述,因为其文章长而且比较零乱,我过滤掉其中的专业术语,简单讲道理归纳如下: 1、安装3721重新启动电脑后,系统会自动加载windows/system32/drivers目录下的CnsMinKP.sys ,这个设备驱动是3721的核心,它修改了系统设置,目前还没有找到停用这个设备的方法。 2、这个设备驱动启用后,会不断检索3721的关键部件和系统设置,如果发现删除和清除会重新创建这些关键部件和设置; 3、3721的关键部件采用一些技术隐蔽在操作系统的其他部件中,不易发现和删除。 由于CnsMinKP.sys这个设备驱动无法停止,用Spy Weeper 和NoAdware防间谍软件清除后会重新创建3721的关键部件。所以关键问题是对CnsMinKP.sys这个设备驱动的清除,反馈三中提到三种方法: 1、安全模式下更换目录名法,这种方法是可行的:将windows\\system32\\drivers目录复制一份,取名为drivers1,并将其中的CnsMinKP.sys删除重新启动机器,到安全模式下,将drviers目录更名为其他目录,将drivers1目录替代原来的drviers目录 。 2、Win98启机软盘启动机器,到c盘删除这个文件,但是如果你安装是的windows 2000系统,要寻找 ntfsdos这个软件 ,但是网上免费版本的这个软件是没有用的,只能读文件不能修改文件,所以这个方法有一定局限性。 3、如果你安装是windows2000或者xp系统,建议安装vFloppy.exe 虚拟软驱 ,按照其使用说明,可以删除windows/system32/drivers目录下的CnsMinKP.sys 。这个方法也是可行的。 那么我按照反馈一的思路,将完整清除3721的步骤叙述如下: 1、首先用windows控制面板的“添加/删除程序”把3721卸载掉,当然这样是卸载不干净的,IE中工具栏可能少了一些东西,但网络实名还存在。 2、使用我归纳的反馈三的三种方法的第一种或者第三种,清除windows/system32/drivers目录下的CnsMinKP.sys 这个驱动。 3、使用Spy Weeper软件或者NoAdware 软件来清除残留的关键部件和注册表中的信息,熟悉注册表的可以自己清除; 4、删除 C:\\Program Files\\3721 目录下的文件的 WINDOWS\\Downloaded Program Files 的3721有关文件。 5、重启动电脑,再用Spy Weeper软件和NoAdware 软件搜索,看有无残留信息,可以同时使用两个软件作为验证。 6、免疫软件。 这是目前对3721软件防护的方法。3721采用了很多专业性的技术,而且其手段还在不断“进化”中。 |
|
|
|
沙发#
发布于:2005-04-21 18:01
用户被禁言,该主题自动屏蔽! |
|
|
板凳#
发布于:2005-04-22 13:12
看来这个3721在安全模式下也可以启动起来,高人能说说它是如何做到这一点吗?
|
|
|
|
地板#
发布于:2005-04-22 13:15
郁闷!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!! :( :( :( :( :( :( :( :( |
|
|
地下室#
发布于:2005-04-22 16:46
郁闷!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 真是很郁闷了。。。 :( |
|
|
|
5楼#
发布于:2005-04-22 17:32
[quote]郁闷!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 真是很郁闷了。。。 :( [/quote] 向3721索赔$9999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999.00 |
|
|
6楼#
发布于:2005-04-23 10:49
恩,不用
|
|