基础资料
- 主题:
- 积分:12717
- 帖子:0
- 金币:
- 精华:
- 关注:
- 粉丝:
|
卸载监控软件WORKWIN的方法
看到这么多见多网友还在受这个破软件的折磨,重新整理一下再发一下:
1、这个软件的工作原理:
这个破软件有监控端和客户端(被监控的电脑),客户端软件可以是绿色的,直接运行也行,也可以安装、也可以运程安装,一般会安在%system%/Program Files/路径下一个随机生成的文件名的文件夹下,有一个EXE文件,大多数文件是隐藏属性的
其中WORKWINLM.exe和system.dll在进程中可以看到:
[simg]http://img.ph.126.net/VSzGNP2kFv_NuZbayQYSNQ==/2699626501648681187.jpg[/simg]
[simg]http://img.ph.126.net/Zo6fYHkIozNsvYdg-WNPag==/3334071099138811320.jpg[/simg]
在workwinlm.exe运行后,如果设置的监控端的IP正常,这个软件会每秒向监控端发几个数据包,一般是把本机系统信息、需要被监控的软件运行信息、抓拍屏图片等发往监控端,而监控端每秒也会向客户端发几个数据包,主要的内容时监控端想监控什么内容,监控规则、密码等。整个软件就是依赖于监控端与客户端不断的发送信息达到监控的目的。
很多人都 会发现,这个客户端卸载了以后,会很快被发现,这是为什么呢?
原来,监控端会每秒向其IP所在网络内的所有IP发送APR请求,正常连网的电脑收到其APR请求后会回应一个ARP回应,监控端据此确定此IP为开机状态(还有,通常的电脑也会发送广播包(目标MAC地址为FF:FF:FF:FF:FF:FF),由于是广播包,监控端也会收到,据此确认哪一个IP处于开机状态),然后监控端会向该IP发送监控指令,如果没有得到执行或回复,说明此IP没有被安装客户端,从而确认此机器没有被监控。安装了客户端软件的机器会随机启动,并每秒数次的向监控端发送ARP请求。
上面是关于一些这个软件的介绍,可能有不对的地方,还请指正。
下面是如何中止workwin监控而不被发现:
1、如何中止运行中的WORKWIN?
可以在CMD下输入下面两条命令:
taskkill /im workwinlm.exe -f -t
taskkill /im system.dll -f -t 再输入”tasklist”,看看有没有workwinlm.exe和system.dll两个进程,没有了说明已结束。
或者用xuetr软件可以中止,
关于中止运行中的workwin,由于客户端被设置的权限不同,方法也有所不同,只要你有电脑的密码,你总有方法中止 这个软件的:)
2、中止WORKWIN后如何不被发现?
中止WORKWIN运行,安装一个叫PCTOOLS的防火墙,在防火墙中增加A、B两规则或C规则:
A、不充许与MAC地址等于管理端的MAC地址进行通信(本条规则作用是拒绝响应管理端WORKWIN的ARP包)
B、不充许本机发送广播包(就是不充许与MAC地址为FF:FF:FF:FF:FF:FF的地址通信)
C、只充许本现与网关的MAC进响应)
如果设置了不充许发广播包(B规则),本机是不能自动获得网关的MAC的,需要再行输入以下命令:arp -s 网关IP 网关MAC (如:arp -s 192.168.0.1 00-XX-96-XX-43-XX,WIN7下则用其他的命令,自己GOOGLE一下) 上面的设置在9.09.0064版本试验,可以达到开机不被监控又不被发现的“目的”
3、如果你实在不想设置防火墙,可以尝试下下面的方法:
在本机设置两个用户,其中一个为Guest权限,另一个是Administrator权限,在服务中关闭远程修改注册表的服务(一定要先关闭),然后在guest中安装并运行workwin,然后切换到adminstrator用户下,去掉这个用户下workwin的自启动。这样监控端只能监控到gues用户的操作,而无权力影响administrator用户的行为。
以后每次开机先用guest用户登录,再切换到administrator用户使用,这样就自由啦。
(小知识:大家都知道注册表中有两个地方可以管理自启动项:1、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;2、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;其中第1处的启动项只对当前登录的用户有效,第2处的启动项对本机所有用户都有效)。
以上经验是总结出来的,有不对的地方请指正,以上内容不用于做抬扛之用。
该贴已经同步到 ℡幽月╃冰心的微博 |
|