前言
屋漏更遭连夜雨,船迟又遇打头风。
刚刚处理完 Docker 里面的“病毒”,又发现自己的笔记本被安装了监控软件,身后一阵凉风。
发现
事发突然,因为影响我开发,所以也没有来得及截图。
为了使用 WSL2 里面的 Docker,我加入了 ,把系统升级到了 Windows 10 2004。结果怪事就出现了——基本上所有的命令行都会在执行前显示一个错误。
从来没见过这个错误,我进入安全模式发现竟然也会 错,在百度 + 谷歌 + stackoverflow 依然无任何有效答案后,陷入了绝望??。
本来呢,这个只是 个错,并不是什么大问题(我本身有一点强迫症,不能忍),但是 JetBrains 全家桶全部 错找不到 Git,CLion 错找不到 VS。这就严重影响我开发了。Windows 预览体验计划还非常坑,不能回退,于是我又尝试了,结果问题依旧。
终于我突发奇想在 Github 上搜了一下(不是到我当时咋想的,病急乱投医把),发现了一个叫mhook的项目,在其类库代码中发现了disasm_x86这个文件,在第 1749 行发现了错误提示的源代码。
现在我大体知道了这个问题产生的原因。
- disasm 是一个 hook(钩子)库,可以注入到别的程序。
- 更新系统后,这个钩子库和新的系统发生了冲突,于是 错,理论上所有被注入的程序都会 错。
- 这个钩子应该是个监控软件或者病毒木马之类的。
我想起了在浪潮实习的时候,我的老师给我说浪潮作为面向政府国企的公司,对内部信息安全非常重视,所以会在员工的电脑里面安装监控软件,监控员工的一举一动,我当时感觉应该不会对实习生下手吧,想不到。。。回想起来,应该是入职浪潮的时候安装的那个上 小助手吧。
于是我下载了freefixer,查找注入的钩子,果不出其然,发现了在系统中安装的IP-GUARD。按照官 的介绍,监控能力之强,范围之广令人汗颜,从 络到文件,邮件,应用等等,简直神通广大。
处理
我已经离职多日,第一时间肯定是卸载这个监控软件,直接删除文件肯定不行,结果 freefixer 也卸不掉(卸载完重启又出现),没有办法,只能到 WinPE 中手动逐一筛查,删除。
基本步骤如下
1. 进入 WinPE
安全模式也会打开例如 explorer.exe 这样的系统进程,而监控软件也注入到了其中,所以安装全模式也不能删除
这里免费帮优启通做个广告。
下载上面这个 PE 安装到本地或者 U 盘 都行,然后重启进入 WinPE 就好了。
2. 到系统盘中删除对应的所有文件
想不到这个公司还是很良心的,所有程序文件都签了名,在 freefixer 上查得到,叫T.E.C Solutions (G.Z.)Limited。
下面这些文件都是在 freefixer 上有记录的文件,可以作为检测 IP-GUARD 是否安装的标志。
| File Name |
|---|
| ONacAgent.exe |
| TIjtdrvd64.dll |
| thooksv364.dll |
| ONacAgent.exe |
| winhadnt64.dll |
| DtFrame32.dll |
| winrdgv3.exe |
| winrdlv3.exe |
| winhafnt64.dll |
| TIjtdrvd64.dll |
| ipnpf.sys |
| thooksv364.dll |
| winhadnt.dll |
我们可以利用 Windows Explorer 的按公司分组,快速找到所有相关文件。
- 打开系统盘(这里假设是 C 盘),右键 – 分组依据 – 更多 – 勾选 公司 – 确定。
- 右键 – 分组依据 – 公司。
- 查看 – 选项 – 查看 – 应用到文件夹。
- 在下面的路径中找到所有公司为的文件,删除。
3. 重启
再次运行 freefixer 检查是否删干净了。
想法
像浪潮这样主要客户是政府,国企的企业,确实需要证明其安全能力,在他的员工的电脑上安装监控软件确实是有效措施,我能够理解。但是,这么大一企业,安装监控时没有主动告知(至少应该告知监控我的哪些行为),毕竟是我自己私人的笔记本,不是企业配发的,也没让我签字。离职时就算知道了也找不到卸载方法(那个上 小助手也是我进入安全模式手动删除的,因为正常卸载需要密码,我嫌麻烦就自己删了),所有面向实习生的文档教程都只有安装方法,我不知道是不是因为实习生的缘故,全程只有我的那个老师给我口头说了一声,我现在感觉自己受到了欺骗,个人隐私受到了严重侵犯,很难受,同时也非常生气,可是又很无力,因为这件事情可大可小,从 上的评论来看在各大企业中都很正常。
希望这样的事情以后不会发生了吧。??
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!