資源描述:
《終于徹底挖除鍵盤記錄器》由會員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫���。
1、終于徹底挖除鍵盤記錄器2008/08/3119:17keyloqqer.Trojan是木馬間諜���,這是一種更新�、更隱蔽的方法。通過修改虛擬設(shè)備驅(qū)動(dòng)程序(VXD)或修改動(dòng)態(tài)遵掇庫(DLL)來加載木馬�����。這種方法與一般方法不同�����,它基本上擺脫了原有的木馬模式---監(jiān)聽端口���,而采用替代系統(tǒng)功能的方法(改寫vxd或DLL文件),木馬會將修改后的DLL替換系統(tǒng)已知的DLL���,并對所有的函數(shù)調(diào)用進(jìn)行過濾��。對于常用的調(diào)用����,使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL���,對于一些相應(yīng)的操作�����。實(shí)際上��。這樣的事先約定好的特種情況�����,DLL會執(zhí)行
2�����、一般只是使用DLL進(jìn)行監(jiān)聽�����,一旦發(fā)現(xiàn)控制端的請求就激活自身���,綁在一個(gè)進(jìn)程上進(jìn)行正常的木馬操作���。這樣做的好處是沒有增加新的文件,不需要打開新的端口��,沒有新的進(jìn)程�,使用常規(guī)的方法監(jiān)測不到它。在往常運(yùn)行時(shí)�,木馬幾乎沒有任何癱狀�����,且木馬的控制端向被控制端發(fā)出特定的信息后����,隱藏的程序就立即開始運(yùn)作��。keylogger.exe是一個(gè)鍵盤記錄器程序���。會記錄你的鍵盤錄入的內(nèi)容第一種辦法:找到了徹底刪除支付寶的辦法,卡巴不再報(bào)警了新版的支付寶還是有這個(gè)漏洞����,老是偷偷監(jiān)控用戶鍵盤輸入,還不給解決���,不裝系統(tǒng)無法登陸好在牛人多�,今天找
3�、到了解決辦法,不敢獨(dú)享�����,拿來曬曬。0�����、復(fù)制C:Windowssystem32driversAlidevice.sys�,更名為Alidevice.sy~以備不時(shí)之需1、去支付寶首頁下載最新版支付寶控件安裝文件http://img.alipay.com/download/2121/aliedit.exe����,(解鈴還需系鈴人啊,讓aliedit.exe把它領(lǐng)回去)2���、關(guān)閉你所打開的所有窗口��,執(zhí)行安裝程序(對�,你沒看錯(cuò)?��。?�����、安裝結(jié)束后����,再次運(yùn)行aliedit.exe,這時(shí)安裝程序會提示是否要先執(zhí)行卸載����,請確認(rèn)卸
4、載(大家動(dòng)作慢一點(diǎn)看清楚了再確認(rèn))4����、這一步很關(guān)鍵,看清楚�����,一定看清楚�����!aliedit.exe會提示是否繼續(xù)執(zhí)行安裝�����,不要裝了�����,點(diǎn)退出�!5、運(yùn)行REGEDIT����,查找ALIDEVICE關(guān)鍵字,找到的都刪掉�����!刪不掉的��,不要管了��。6����、退出,重啟�,大功告成。7���、重啟后驗(yàn)證是否刪除干凈:●C:WINDOWSSYSTEM32DRIVERS無ALIDEVICE.SYS;●優(yōu)化大師檢查IE插件無ALIEDIT�����;●HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIP
5���、NP03034&5289e18&0(這個(gè)值可能和你的不一樣��,沒關(guān)系)ControlActiveService指向Kbdclass�����,沒卸載前是指向Alideivce.sys���;●IE內(nèi)容中的證書需手動(dòng)刪除;●在C:搜索ali*.*����,只會找到Aliedit目錄,別留啦���,刪吧�����!●打開設(shè)備管理器,看吧����,鍵盤驅(qū)動(dòng)詳細(xì)信息只有兩條了�,C:Windowssystem32driversAlidevice.sys這一條消失啦����!8、大功告成�����!再沒有一雙隱形的眼睛盯著我啦���!再用卡巴測�����,就不會有盜號木馬的提示了����。第二種辦
6�、法:關(guān)于alidevice鍵盤監(jiān)聽是不是流氓軟件就不討論了,起碼淘寶不給卸載alidevice鍵盤監(jiān)聽的方法�����,就此一點(diǎn)已經(jīng)足夠流氓。我驗(yàn)證過10臺機(jī)器��,以下方法可干凈卸載���。1.修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E96B-E325-11CE-BFC1-08002BE10318}UpperFilters鍵值���,把a(bǔ)lidevice刪除,注意kbdclass保留��,不要?jiǎng)h除���,否則重啟機(jī)器你的鍵盤可能失效���。2.刪除HKEY_L
7、OCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNP03034&5289e18&0�,這里直接刪除會報(bào)錯(cuò),用icesword這個(gè)軟件刪除4&5289e18&0(iceswordV1.22綠色版可以在華軍軟件http://www.newhua.com/soft/53325.htm下載)(沒有安裝過支付寶及阿里巴巴等控件的注冊表里就沒有ACPIPNP03034&5289e18&0)3.刪除HKEY_LOCAL_MACHINESYSTEMCurrentCont
8���、rolSetServicesAlidevice4.刪除WindowsSystem32DriversAliDevice.sys文件5.重啟系統(tǒng)6.部分電腦可能出現(xiàn)"發(fā)現(xiàn)新硬件"的提示���,繼而要求重啟系統(tǒng)����,這是由于干凈刪除alidevice以后���,鍵盤恢復(fù)初始狀態(tài),在系統(tǒng)重新注冊的緣故�����。我既沒安裝過支付寶也沒去過阿里巴巴網(wǎng)站,那是怎么插進(jìn)來的呢?一個(gè)是封裝系統(tǒng)帶有,另一個(gè)就是軟件捆綁
