登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

lgjmfyx的博客

享受生活每一天

 
 
 

日志

 
 

驱动防火墙关闭方式  

2008-11-29 21:23:36|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
驱动防火墙关闭方式(转)
2008年09月05日 星期五 09:39
驱动防火墙关闭方式 - lgjmfyx - lgjmfyx的博客 第一方法 很多网吧使用的是 管理员权限 而安全工具恰巧也是必须在管理员权限下才能使用。所以我们可以使用开始 控制面板 管理工具 计算机管理 本地用户组 用户里 建立个新用户 然后在 组里

Network Configuration Operators 组下加入 该用户 应该可以解决

自我假设 成功机率 无限趋向于0

理由 :1 这样网吧 管理软件 也将无法加载 。这么简单还开网吧作甚。。以前遇见过类似的 大多数情况下是 被系统禁止无法更改用户 第2 个就是 无法加载网吧管理程序同时 系统默认 3分钟从启(我们这里3分钟)

当然 我的假设是 在 3分钟内 以最快速度 装上 你所需要的 程序然后换回管理员系统 应该可以 解决问题。。。。。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

假设2

是程序就应该有 进程(这个我说的 有可能错的) 从前面版本可以看出 驱动防火墙是有进程的 “DrvAnti.exe” 可惜升级后 进程消失了。。。windows 是可以隐藏进程的。 也就是说 我们 如果找到 某种方法 让这个进程显示 也就可以解决掉他了。。。。 当然难题有 1 这种软件是什么 (据说冰刃可以)可惜冰刃有人说看不到。。。因此 设想成立 趋向无限于0

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

3假设3 灰鸽子启示的

灰鸽子 我以前玩过 正常的灰鸽子 根本没有进程 。远程服务端不开启时 不会出现进程的。。。也就是说 驱动防火墙可能是类似 灰鸽子样的 软件 。它需要触发条件 才可以显现出它的 进程。。。这个设想出现后我使用PROCESS EXPLORER V11.12 汉化版 进行了捕捉 还真发现了 可疑进程。。。可惜当时的我时间到了 也就没记得这个进程名字 有空继续努力。。。。

后续 ~ 当时我安装了 虚拟光驱 同时 监视进程。。虚拟光驱 加载 sys 文件被拦截的 同时 监视进程 里出现了 s开头的 大概5-6个英文字母组成的 进程。。随后我属性该进程 发现进程文件在 windows/system32 文件下 的一个 文件 。我打开了 它 它出现一个窗口 里面 是一些拦截日志 总归不是 windows的东西(可以看见里面的日志中 有网管 之类的信息 )所以我 有6成相信 这个就是 所谓的驱动防火墙。。 当然 由于时间问题 我的 试验到这里停止了


我将在下次 去网吧时 进行如下试验。。

1 将该进程的线程 一个一个 暂停。。每暂停一个 测试 看是否能安装虚拟光驱 (如果能安装 表示我就成功了 )

2 使用unlocker 工具进行 解锁 该文件 然后删除。。删除同时 新建文件夹 名字就命名 为这个文件的 名字 进行替换 防止再次产生。。。 然后进行虚拟光驱安装


安全系数最大的 就是呼叫网管 让其将你所需要安装程序加入总服务器的 白名单里。。。。

当然 前提要求 1 网管有那个权限 2你跟网管关系一定要好 。 否则 就是 在 总服务器那里我没权限无法关闭。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

已 测试失败假设

1 关闭进程DrvAnti.exe 很显然找不到 无法关闭

2 使用一个叫做 网吧驱动防火墙关闭器的工具 显然 没效果失败

3 暂停名为“PROCESSSAFE.EXE”进程 (PROCESSSAFE.EXE进程为 网维 的程序 不是 网吧监管工具 关闭没事) 关闭后 没任何效果 照样无法打开。。

4 关闭 一切 非windows进程 这些关闭进程中 包含了explorer 输入法 网吧管理程序 loto(IC卡管理进程) 还有个什么 *****A *****B 的总之 最后 仅仅遗留了windows 运行所必备进程。后果么就是还是无法安装 被驱动防火墙 阻拦了。。。。。


而且 3分钟后 系统自动 从启(废话你跟网吧 脱离了连接。监管工具 会按照设定好的程式进行操作)


5呼叫网管 网管回复 我没权限关闭 这个控制台在总服务器那里。抱歉。。。


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

驱动防火墙说明

驱动防火墙主要用来防止 机器狗的 出品公司 可能是 网维的

同时还可以 防御常见性破还原卡的方法 维护网吧的 安全。

它的后台管理 在总服务器 因此呼叫网管 关闭时 网管也没办法(除非你关系铁 让人家 去服务器 将你所需要安装的 东西加入白名单)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

最近哪天去网吧帮大家 实践下最后的 假设。。。在没办法我 也就 KO 哪天给陪点图 文字看起来不舒服

也许以后随着我的 技术的提升 ^_^ 不说了。。。。



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

最新更新

防火墙关闭 我有N 种方法。。。但就是关了 又能如何????

没有恢复 Windows Installer 关联(如图): 驱动防火墙关闭方式 - lgjmfyx - lgjmfyx的博客

。。。能顶什么用啊。。。

凭良心说说 谁的真正能解决问题。。。一句 关了就来糊弄人。。。

截止今天28日帖子我全看了。。。不管是 从启发 手动法。等等 试验结果呢??? 能成功的 到底 有吗???反正我是没有成功。

我个人认为 它已经默认的 将Windows Installer 服务进行了 替换

也许还替代了 内部的 动态链接库。。 那个所谓的DrvAnti 进程纯粹是个幌子。。。 它的作用只有 1个就是重新获取策略 的。。。其他的P 都不管。。。。 给个假设把 就是 杀毒软件 断网了 不能升级一样。。。。 我们关了 DrvAnti 就跟 断网一般。。真正的 “杀毒软件” 这个大头还是没有解决。。没有恢复。。不顶用。。。 还是期待这高手的到来。。。

最郁闷的 是那个手快法。。。最简单的 拆穿方法就是在 机器上建立个 最低权限 帐户。。然后 进入这个低权限帐户。。这个时候系统 根本不加载 驱动防火墙。。。 但能 用??? 呵呵自己试验去吧


总之以后说可以关闭进程的 大家都别相信。。因为这话是正确的但关闭进程根本解决不了问题。好了 下面的事你们看我后面的图把
最新成果 这个是 进程对比图 : 驱动防火墙关闭方式 - lgjmfyx - lgjmfyx的博客

这张图片 属于 打开 虚拟光驱 安装拦截后 进程监视 出现的可疑进程: 驱动防火墙关闭方式 - lgjmfyx - lgjmfyx的博客
这张是这个可疑进程的 具体信息

注意到了吗? windows installer

映像文件。。 似乎影响劫持 将 windows installer的一个策略文件强行绑定了。。
驱动防火墙关闭方式 - lgjmfyx - lgjmfyx的博客

打开了这个 进程 所在程序 发现 。。


(已经查明 这个程序属于正常的 Windows Installer 程序 线索又断了)
因为我害怕 这个程序会自动产生

因此 用 同名的 文件夹替换了

从新安装 虚拟光驱 出现 驱动防火墙关闭方式 - lgjmfyx - lgjmfyx的博客
很明显 我的 删除法 无法使用 只能 搁浅

但这次的尝试 也不是没有 任何 成功的 。。至少 我明白了 这个

msiexec.exe 程序 至少 与这个 网吧驱动防火墙 关系密切 我会继续尝试的 下次 如果可能我 想找款分析软件 进行 分析与这个程序相关联的 程序 希望找到 删除 然后 ....
这个程序属于正常的。。我是Windows Installer 自带的。。 我搞错了 抱歉 。。不过 驱动防火墙与他有关是绝对正确的 70%以上可能性的



Windows (R) Installer. V 3.01.4000.1823

msiexec /Option [Optional Parameter]

安装选项



安装或配置产品

/a

管理安装 - 在网络上安装产品

/j [/t ] [/g ]

播发产品 - m 播发到所有用户,u 播发到当前用户



卸载产品

显示选项

/quiet

安静模式,无用户交互

/passive

无从参与模式 - 只显示进程栏

/q[n|b|r|f]

设置用户界面级别

n - 无用户界面

b - 基本界面

r - 精简界面

f - 完整界面(默认值)

/help

帮助信息

重新启动选项

/norestart

安装完成后不重新启动

/promptrestart

提示用户重新启动(如果必要)

/forcerestart

安装后总是重新启动计算机

日志选项

/l[i|w|e|a|r|u|c|m|o|p|v|x|+|!|*]

i - 状态消息

w - 非致命警告

e - 全部错误消息

a - 操作的启动

r - 操作特定记录

u - 用户请求

c - 初始界面参数

m - 内存不足或致命退出信息

o - 磁盘空间不足消息

p - 终端属性

v - 详细输出

x - 额外调试信息

+ - 扩展到现有日志文件

! - 每一行刷新到日志

* - 记录所有信息,除了 v 和 x 选项

/log

与 /l* 相同

更新选项

/update [;Update2.msp]

应用更新

/uninstall [;Update2.msp] /package

删除产品的更新

修复选项

/f[p|e|c|m|s|o|d|a|u|v]

修复产品

p - 仅当文件丢失时

o - 如果文件丢失或安装了更旧的版本(默认值)

e - 如果文件丢失或安装了相同或更旧的版本

d - 如果文件丢失或安装了不同版本

c - 如果文件丢失或较验和与计算的值不匹配

a - 强制重新安装所有文件

u - 所有必要的用户特定注册表项(默认值)

m - 所有必要的计算机特定注册表项(默认值)

s - 所有现有的快键方式(默认值)

v - 从源运行并缓存本地数据包

设置公共属性

[PROPERTY=PropertyValue]

请查阅 Windows (R) Installer SDK 获得有关

命令行语法的其他文档。

版权所有 (C) Microsoft Corporation. 保留所有权利。

此软件的部分内容系基于 Independent JPEG Group 的工作。
使用最新 arp 兄弟的 方法 确实找到了 隐藏起来的

而且定位到了文件

我尝试了删除 替换 还有别的方法总之 还是无法 不顶用


关闭 进程 智能abc 方法 也一样大家可以 去 are的空间去看看

http://86955481.qzone.qq.com/

下图 是定位到的信息

使用 Wsyscheck 可以发现

驱动防火墙关闭方式 - lgjmfyx - lgjmfyx的博客

在下图是 文件 具体位置 驱动防火墙关闭方式 - lgjmfyx - lgjmfyx的博客
目前唯一我所知道 能成功方法就是 找管理员 让加白名单

但我们 管理员并不负责任。。。


下面是顺网 原理 与 管理员如何关闭方法 的 网页

无法关闭drvanti.exe这个进程,内存地址看不到。

我曾经使用winhex查看物理内存,可以发现drvanti.exe的内容,但是不知道怎么把它废掉。

建议大家从物理内存直接修改,可能会成功。 驱动防火墙关闭方式 - lgjmfyx - lgjmfyx的博客

网友评论:
12008年09月09日 星期二 06:43
得了``` 你也够忙的了``

最简单的方法``找技管拉白名单``

不给拉`` 直接把他喀嚓了`````或者直接吧老板“KO”了``

然后老板娘跟网吧就归你了`` 随便搞``没事自己给自己装点这鸽子那鸽子的`
《悠哉悠哉》


©2008 Baidu



引文来源  驱动防火墙关闭方式(转)_网络安全日志
  评论这张
 
阅读(5228)| 评论(0)

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018