吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 13860|回复: 166
上一主题 下一主题

[原创] 对抗360天擎监控的几种方法、思路

    [复制链接]
跳转到指定楼层
楼主
生有涯知无涯 发表于 2020-2-26 20:30 回帖奖励
本帖最后由 生有涯知无涯 于 2020-2-28 11:37 编辑

某些单位为了“安全”会强制要求员工安装天擎,安装后会开机自启,退出或卸载都要密码
而且处于管理员的监控之下。可以这么说,安装了天擎,在管理员面前就跟裸奔差不多,电脑安了什么软件、当前运行什么进程等看的一清二楚

最可怕的还是无任何提示远程查看或远程控制。。。。。。


没人想被监控吧,今天就来说几种防止被监视的方法。
一、利用天擎自身漏洞
天擎可以管理启动项,把它自己禁止启动就行了。。。。。我刚发现这个漏洞时挺无语的,但确实简单有效。



在启动项里,天擎显示为“360安全卫士”,禁用就好,如果重启后发现还在,再禁用一次就行了。
不过这不是长久之计,因为管理员在后台看不到你在线,时间久了肯定会被管理员发现。


二、设置防火墙出站规则,禁止远控程序联网
很遗憾,这个方法短时间有效,因为过一段时间天擎会把防火墙“高级设置”里对它有限制的规则删除,虽然最终无效,但还是要提一下,不失为一种思路。

另外,防火墙里不能禁止天擎联网,对它不利的勾不能取消。

三、调试获取密码

弹框时用OD附加,然而意料之中并不能附加

网上说是因为程序hook了SSDT或者通过其他方法让自己处于调试状态,进而阻止被调试。我也没有深入研究(其实是超出了自身能力范围),毕竟有更简单的方法,所以留给论坛里的大神了。
四、进PE或安全模式启动电脑,老窝一锅端
这两个比较简单就不说了,请自行百度。思路就是通过这样的方式开启电脑,天擎不会开机启动,趁它没启动,统统删掉就行了。
五、最终解决方案
管理员后台那边显示在线,但是远程查看或控制失效,岂不美哉?方法很简单,删除远控程序即可,直接删除不了,要安装火绒,然后粉碎文件。
远控程序为ra目录下的rcservice.exe,已经被我删掉了。

后台可以看到我在线:

远控一下试试:

可以看到远控功能失效了,一直显示这个灰色的画面。


如果大家有其他方法,欢迎交流分析!
===================================================================
六、伪装

2020年2月27日更新

根据坛友的反馈:把真机的天擎卸载了,在虚拟机里安装天擎,然后把虚拟机的名称修改成真机名称、桌面设置成真机的桌面,此方案可行,基本上是完美解决方案了。下为测试截图:
后台:

远程查看(未更换桌面):

远程查看(已更换桌面):

免费评分

参与人数 34吾爱币 +33 热心值 +28 收起 理由
hihuhu + 1 + 1 我很赞同!
bullshit + 1 + 1 谢谢@Thanks!
失散的亲爹 + 1 + 1 我很赞同!
vx3150 + 1 + 1 我很赞同!
dzbxmcx + 1 + 1 谢谢@Thanks!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
rmjlr + 1 + 1 我的是6.0怎么找不到rc*.exe,不知道哪个是远控程序了
ajajaj + 1 + 1 我很赞同!
66099 + 1 我很赞同!
woai1133 + 1 + 1 热心回复!
西瓜两块六 + 1 我很赞同!
xusu123 + 1 + 1 我很赞同!
qwe7210458 + 1 + 1 热心回复!
sjyt08 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
小姐姐的男朋友 + 1 + 1 谢谢@Thanks!
ofo + 1 + 1 恕我直言,在域管理下的客户端,任何对抗都是儿戏,管理员可以直接在DC上固.
zjun777 + 1 谢谢@Thanks!
调调哈 + 1 用心讨论,共获提升!
lyj17335671675 + 1 用心讨论,共获提升!
headcheetah + 1 + 1 谢谢@Thanks!
吐槽户 + 1 我很赞同!
羽翼 + 1 这个牛逼 摸鱼神器
zircon2 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
abb666 + 1 + 1 用心讨论,共获提升!
非你莫鼠 + 1 + 1 我很赞同!
陈小虫 + 1 + 1 我很赞同!
虔来学习 + 1 热心回复!
七个涨停一倍 + 1 用心讨论,共获提升!
yxdyxd163 + 1 谢谢@Thanks!
gllgoe + 1 热心回复!
不爱everyone + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lishixin23 + 1 + 1 谢谢@Thanks!
天星散人 + 1 + 1 热心回复!
hu19830324 + 1 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
Corona 发表于 2020-2-26 20:57
突然想起我之前用360文件粉碎机干掉某网吧的网管软件,不过后来被打的很惨就是了(手动滑稽)
推荐
大白小子 发表于 2020-2-26 20:47
推荐
kingkiller 发表于 2020-2-26 20:43
推荐
冰楓丶殘瀷 发表于 2020-2-26 20:35
360也逛这个论坛的傻了吧
推荐
齐恩 发表于 2020-2-27 00:04
把系统bak了然后重装个系统,把bak的系统放虚拟机可行不
推荐
风花雪月的年少 发表于 2020-2-26 20:41
还有一种思路是伪装,他监控归他监控,但看到的东西都是伪装过的,真实的看不到。
8#
netCheney 发表于 2020-2-26 20:36
不错不错,之前公司让安装过金山类似的软件,让我用360干掉了,跟老铁这个异曲同工啊
9#
kuliwang 发表于 2020-2-26 20:41
这个牛逼。。。。。
10#
灵剑丹心 发表于 2020-2-26 20:50
天融信终端安全管理系统TopDesk 怎么干掉
11#
iamwangz 发表于 2020-2-26 20:50
kingkiller 发表于 2020-2-26 20:43
需要靠装监控来监督员工的公司不是好公司

360就是这么个公司啊。。。
12#
AsgoreDreemurr 发表于 2020-2-26 20:51
有一说一,不如换公司。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-7-13 09:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表