[终于彻底挖除键盘记录器.docVIP

终于彻底挖除键盘记录器 2008/08/31 19:17 keyloqqer.Trojan是木马间谍，这是一种更新、更隐蔽的方法。通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。这种方法与一般方法不同，它基本上摆脱了原有的木马模式---监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些相应的操作。实际上。这样的事先约定好的特种情况，DLL会执行一般只是使用DLL进行监听，一旦发现控制端的请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它。在往常运行时，木马几乎没有任何瘫状，且木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。 keylogger.exe是一个键盘记录器程序。会记录你的键盘录入的内容第一种办法：找到了彻底删除支付宝的办法，卡巴不再报警了 新版的支付宝还是有这个漏洞，老是偷偷监控用户键盘输入，还不给解决，不装系统无法登陆 好在牛人多，今天找到了解决办法，不敢独享，拿来晒晒。 0、复制C:\Windows\system32\drivers\Alidevice.sys，更名为Alidevice.sy~以备不时之需 1、去支付宝首页下载必威体育精装版版支付宝控件安装文件 /download/2121/aliedit.exe，（解铃还需系铃人啊，让aliedit.exe把它领回去） 2、关闭你所打开的所有窗口，执行安装程序（对，你没看错！） 3、安装结束后，再次运行aliedit.exe，这时安装程序会提示是否要先执行卸载，请确认卸载（大家动作慢一点看清楚了再确认） 4、这一步很关键，看清楚，一定看清楚！aliedit.exe 会提示是否继续执行安装，不要装了，点退出！ 5、运行REGEDIT，查找ALIDEVICE关键字，找到的都删掉！删不掉的，不要管了。 6、退出，重启，大功告成。 7、重启后验证是否删除干净： ● C:\WINDOWS\SYSTEM32\DRIVERS无ALIDEVICE.SYS; ● 优化大师检查IE插件无ALIEDIT； ● HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNP0303\45289e180(这个值可能和你的不一样，没关系）\Control\ActiveService 指向Kbdclass，没卸载前是指向Alideivce.sys； ● IE内容中的证书需手动删除； ● 在C:\有哪些信誉好的足球投注网站ali*.*，只会找到Aliedit目录，别留啦，删吧！ ● 打开设备管理器，看吧，键盘驱动详细信息只有两条了，C:\Windows\system32\drivers\Alidevice.sys这一条消失啦！ 8、大功告成！再没有一双隐形的眼睛盯着我啦！再用卡巴测，就不会有盗号木马的提示了。 第二种办法：关于alidevice键盘监听是不是流氓软件就不讨论了，起码淘宝不给卸载alidevice键盘监听的方法，就此一点已经足够流氓。 我验证过10台机器，以下方法可干净卸载。 1. 修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters键值，把alidevice删除，注意kbdclass保留，不要删除，否则重启机器你的键盘可能失效。 2. 删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNP0303\45289e180，这里直接删除会报错，用icesword这个软件删除45289e180(icesword V1.22绿色版可以在华军软件/soft/53325.htm下载) (没有安装过支付宝及阿里巴巴等控件的 注册表里就没有ACPI\PNP0303\45289e180)3. 删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alidevice 4. 删除Windows\System32\Drivers\AliDevice.sys文件 5. 重启系统 6. 部分电脑可能出现发现新硬件的提示，继而要求重启系统，这是由于干净删除alidevice以后，键盘恢复初始状态，在系统重新注册的缘故。 我既没安装过支付