2023年7月6日发(作者：)

让Ip-Guard去死！

前⼏天在实验室最痛苦之事莫过于龟速的⽹络，连百度都打不开，飞鸽竟然都只有⼏⼗KB……都是可恨的Ip-Guard，要限速也不能限成这样啊……Ip-Guard 整个⼀裹着信息安全软件外⾐的超级流氓，它要是⼀⽊马（其实它⾏为也就是⼀⽊马）或者病毒那就真惨了……在⽹上搜了好久竟然都没⼈说怎么把它搞了，没办法，只能⾃⼰动⼿丰⾐⾜⾷了，下⾯来看⼀下它对我们的系统都⼲了什么。⾸先是⽣成的⽂件，别看它安装程序那么⼩，其实⽣成的⽂件很多也⼀点都不⼩C:Program FilesCommon FilesSystemC:WINDOWSsystem32driversC:WINDOWSsystem32三个⽂件夹下所有“公司”为“TEC Solutions Limited.”的⽂件，约有20多个============================================注册表启动项[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks] <{A16CA976-4B8D-47FC-A9F4-651C17B636EF}>============================================添加的服务[Windows Helper Service / Winhlpsvr] ============================================加载的驱动⽂件[TFsfltdrv / TFsfltdrv] [TPacket Driver / TPacket] [TSysDrv / TSysDrv] ============================================可以在进程管理中直接看到的两个进程（通过系统的rundll32程序来运⾏）C: runagent32C: runagent32u============================================DLL注⼊ (包括但不限于以下进程，有可能有很多，请⾃⾏查看每个进程，凡⽂件⼚商为 TEC Solutions Limited. 的DLL即是被IP-Guard注⼊的)[C:][C:][C:][C:]============================================API 挂钩（Hook dll: C:）⼊⼝点：DeleteFileW⼊⼝点：FindFirstFileExW⼊⼝点：CreateFileW⼊⼝点：CopyFileExW⼊⼝点：SHFileOperationW看它有多毒……凡是创建、删除、复制、查看等与⽂件有关的操作全被它控制======================================================知道它⼲了些什么就好办了，对付它⽤ IceSword 或者 XueTr 这样的⼯具就可以了，把能删的全删，能卸载的全卸，只要看到8235端⼝没有被使⽤就说明它已经不与服务器连接了，并且在重启后如果那三个⽂件夹下不再⽣成⽂件就说明彻底⼲净了PS. 如果不想完全搞掉它只想不被监视，有个简单的⽅法：开机的时候选Ghost⼯具，⽤下⾯的DOS环境把改个名字就可以了，当然这不是好办法，因为rundll32是个有⽤的系统程序