資源描述:
《終于徹底挖除鍵盤記錄器》由會員上傳分享,免費在線閱讀���,更多相關內容在應用文檔-天天文庫�����。
1�、終于徹底挖除鍵盤記錄器2008/08/3119:17keyloqqer.Trojan是木馬間諜�����,這是一種更新��、更隱蔽的方法���。通過修改虛擬設備驅動程序(VXD)或修改動態(tài)遵掇庫(DLL)來加載木馬����。這種方法與一般方法不同�����,它基本上擺脫了原有的木馬模式---監(jiān)聽端口,而采用替代系統(tǒng)功能的方法(改寫vxd或DLL文件)�����,木馬會將修改后的DLL替換系統(tǒng)已知的DLL����,并對所有的函數(shù)調用進行過濾。對于常用的調用�����,使用函數(shù)轉發(fā)器直接轉發(fā)給被替換的系統(tǒng)DLL����,對于一些相應的操作。實際上���。這樣的事先約定好的特種情況�,DLL會執(zhí)行
2��、一般只是使用DLL進行監(jiān)聽�����,一旦發(fā)現(xiàn)控制端的請求就激活自身����,綁在一個進程上進行正常的木馬操作。這樣做的好處是沒有增加新的文件����,不需要打開新的端口,沒有新的進程�,使用常規(guī)的方法監(jiān)測不到它。在往常運行時���,木馬幾乎沒有任何癱狀�����,且木馬的控制端向被控制端發(fā)出特定的信息后�����,隱藏的程序就立即開始運作���。keylogger.exe是一個鍵盤記錄器程序����。會記錄你的鍵盤錄入的內容第一種辦法:找到了徹底刪除支付寶的辦法���,卡巴不再報警了新版的支付寶還是有這個漏洞��,老是偷偷監(jiān)控用戶鍵盤輸入�,還不給解決����,不裝系統(tǒng)無法登陸好在牛人多,今天找
3�、到了解決辦法,不敢獨享��,拿來曬曬�。0、復制C:Windowssystem32driversAlidevice.sys���,更名為Alidevice.sy~以備不時之需1���、去支付寶首頁下載最新版支付寶控件安裝文件http://img.alipay.com/download/2121/aliedit.exe,(解鈴還需系鈴人啊��,讓aliedit.exe把它領回去)2、關閉你所打開的所有窗口���,執(zhí)行安裝程序(對�,你沒看錯?���。?�����、安裝結束后�����,再次運行aliedit.exe��,這時安裝程序會提示是否要先執(zhí)行卸載����,請確認卸
4、載(大家動作慢一點看清楚了再確認)4��、這一步很關鍵����,看清楚�,一定看清楚��!aliedit.exe會提示是否繼續(xù)執(zhí)行安裝����,不要裝了,點退出����!5、運行REGEDIT���,查找ALIDEVICE關鍵字��,找到的都刪掉�!刪不掉的�����,不要管了�。6、退出���,重啟��,大功告成����。7、重啟后驗證是否刪除干凈:●C:WINDOWSSYSTEM32DRIVERS無ALIDEVICE.SYS;●優(yōu)化大師檢查IE插件無ALIEDIT���;●HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIP
5、NP03034&5289e18&0(這個值可能和你的不一樣���,沒關系)ControlActiveService指向Kbdclass�����,沒卸載前是指向Alideivce.sys���;●IE內容中的證書需手動刪除;●在C:搜索ali*.*�,只會找到Aliedit目錄,別留啦����,刪吧��!●打開設備管理器����,看吧��,鍵盤驅動詳細信息只有兩條了��,C:Windowssystem32driversAlidevice.sys這一條消失啦��!8����、大功告成!再沒有一雙隱形的眼睛盯著我啦�!再用卡巴測,就不會有盜號木馬的提示了�����。第二種辦
6�����、法:關于alidevice鍵盤監(jiān)聽是不是流氓軟件就不討論了,起碼淘寶不給卸載alidevice鍵盤監(jiān)聽的方法�����,就此一點已經(jīng)足夠流氓�。我驗證過10臺機器,以下方法可干凈卸載����。1.修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E96B-E325-11CE-BFC1-08002BE10318}UpperFilters鍵值,把alidevice刪除���,注意kbdclass保留���,不要刪除����,否則重啟機器你的鍵盤可能失效。2.刪除HKEY_L
7����、OCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNP03034&5289e18&0,這里直接刪除會報錯�����,用icesword這個軟件刪除4&5289e18&0(iceswordV1.22綠色版可以在華軍軟件http://www.newhua.com/soft/53325.htm下載)(沒有安裝過支付寶及阿里巴巴等控件的注冊表里就沒有ACPIPNP03034&5289e18&0)3.刪除HKEY_LOCAL_MACHINESYSTEMCurrentCont
8、rolSetServicesAlidevice4.刪除WindowsSystem32DriversAliDevice.sys文件5.重啟系統(tǒng)6.部分電腦可能出現(xiàn)"發(fā)現(xiàn)新硬件"的提示����,繼而要求重啟系統(tǒng),這是由于干凈刪除alidevice以后�,鍵盤恢復初始狀態(tài),在系統(tǒng)重新注冊的緣故���。我既沒安裝過支付寶也沒去過阿里巴巴網(wǎng)站,那是怎么插進來的呢?一個是封裝系統(tǒng)帶有,另一個就是軟件捆綁
