1.1.png (8.35 KB, 下载次数: 4)
下载附件
2020-2-26 19:34 上传
而且处于管理员的监控之下。可以这么说,安装了天擎,在管理员面前就跟裸奔差不多,电脑安了什么软件、当前运行什么进程等看的一清二楚
2.png (64.89 KB, 下载次数: 5)
下载附件
2020-2-26 19:15 上传
最可怕的还是无任何提示远程查看或远程控制。。。。。。
1.png (139.85 KB, 下载次数: 4)
下载附件
2020-2-26 19:15 上传
3.png (424.71 KB, 下载次数: 6)
下载附件
2020-2-26 19:15 上传
没人想被监控吧,今天就来说几种防止被监视的方法。
一、利用天擎自身漏洞
天擎可以管理启动项,把它自己禁止启动就行了。。。。。我刚发现这个漏洞时挺无语的,但确实简单有效。
4.png (202.57 KB, 下载次数: 6)
下载附件
2020-2-26 19:35 上传
5.png (177.93 KB, 下载次数: 5)
下载附件
2020-2-26 19:35 上传
6.png (147.54 KB, 下载次数: 5)
下载附件
2020-2-26 19:35 上传
在启动项里,天擎显示为“360安全卫士”,禁用就好,如果重启后发现还在,再禁用一次就行了。
不过这不是长久之计,因为管理员在后台看不到你在线,时间久了肯定会被管理员发现。
二、设置防火墙出站规则,禁止远控程序联网
很遗憾,这个方法短时间有效,因为过一段时间天擎会把防火墙“高级设置”里对它有限制的规则删除,虽然最终无效,但还是要提一下,不失为一种思路。
2.2.png (541.95 KB, 下载次数: 6)
下载附件
2020-2-26 19:50 上传
另外,防火墙里不能禁止天擎联网,对它不利的勾不能取消。
2.1.png (107.51 KB, 下载次数: 5)
下载附件
2020-2-26 19:44 上传
三、调试获取密码
7.png (121.91 KB, 下载次数: 4)
下载附件
2020-2-26 19:54 上传
弹框时用OD附加,然而意料之中并不能附加
111.png (212.88 KB, 下载次数: 6)
下载附件
2020-2-26 20:39 上传
网上说是因为程序hook了SSDT或者通过其他方法让自己处于调试状态,进而阻止被调试。我也没有深入研究(其实是超出了自身能力范围),毕竟有更简单的方法,所以留给论坛里的大神了。
四、进PE或安全模式启动电脑,老窝一锅端
这两个比较简单就不说了,请自行百度。思路就是通过这样的方式开启电脑,天擎不会开机启动,趁它没启动,统统删掉就行了。
五、最终解决方案
管理员后台那边显示在线,但是远程查看或控制失效,岂不美哉?方法很简单,删除远控程序即可,直接删除不了,要安装火绒,然后粉碎文件。
远控程序为ra目录下的rcservice.exe,已经被我删掉了。
9.png (72.99 KB, 下载次数: 10)
下载附件
2020-2-26 20:12 上传
后台可以看到我在线:
10.png (188.47 KB, 下载次数: 5)
下载附件
2020-2-26 20:19 上传
远控一下试试:
11.png (224.78 KB, 下载次数: 3)
下载附件
2020-2-26 20:19 上传
可以看到远控功能失效了,一直显示这个灰色的画面。
如果大家有其他方法,欢迎交流分析!
===================================================================
六、伪装
2020年2月27日更新
根据坛友的反馈:把真机的天擎卸载了,在虚拟机里安装天擎,然后把虚拟机的名称修改成真机名称、桌面设置成真机的桌面,此方案可行,基本上是完美解决方案了。下为测试截图:
后台:
1.png (31.37 KB, 下载次数: 6)
下载附件
2020-2-27 13:47 上传
远程查看(未更换桌面):
2.png (433.01 KB, 下载次数: 5)
下载附件
2020-2-27 13:47 上传
远程查看(已更换桌面):
3.jpg (244.37 KB, 下载次数: 5)
下载附件
2020-2-27 14:01 上传
