查看: 20663|回复: 10
收起左侧

[讨论] 学校机房一开机就改时间,可有工具可以监视是哪个进程修改的?

[复制链接]
wkl17
发表于 2015-11-25 11:18:58 | 显示全部楼层 |阅读模式
学校机房一开机就改时间,可有工具可以监视是哪个进程修改的?

事实 上 我已经用 Sysinternals 的 procmon.exe 找出了其中几个进程,但当时对procmon使用还不太熟悉(主要是捕获的数据太多,过滤不好过滤),可能有漏了进程。不过不太想折腾了,因为又要重新来一次,很费时间。
所以想知道是否有什么进程 可以直接监视到 是哪个进程 修改了时间?
感觉是从 教师服务端 发送的命令 过来修改学生机的时间的。每次都会修改为2011年的时间,以此来维持软件激活状态。唉。


=============
@echo off
title 同步时间 by wkl17 @ 2015.10.22
echo 同步时间 by wkl17 @ 2015.10.22
set i=1
:syncTime
taskkill /im run.exe /f
if exist "C:\Program Files\OsEasy\LGClient\Run.exe" ren "C:\Program Files\OsEasy\LGClient\Run.exe" OldRun.exe
taskkill /im runex.exe /f
if exist "C:\Program Files\OsEasy\AMClient\RunEx.exe" ren "C:\Program Files\OsEasy\AMClient\RunEx.exe" OldRunEx.exe
taskkill /im ProtectEx.exe /f
if exist "C:\Program Files\OsEasy\AMClient\ProtectEx.exe" ren "C:\Program Files\OsEasy\AMClient\ProtectEx.exe" OldProtectEx.exe
taskkill /im Protect.exe /f
if exist "C:\Program Files\OsEasy\LGClient\Protect.exe" ren "C:\Program Files\OsEasy\LGClient\Protect.exe" OldProtect.exe
if exist "C:\Program Files\OsEasy\" ren "C:\Program Files\OsEasy" Old.OsEasy
if exist "C:\Program Files\GoldenSoft\LanStar 7.0" ren "C:\Program Files\GoldenSoft\LanStar 7.0" "Old.LanStar 7.0"
start /min "" time2.exe
ping 127.0.0.1 -n 15 >nul
start /min "" time2.exe
ping 127.0.0.1 -n 15 >nul
taskkill /im time2.exe /f
::ping 127.0.0.1 -n 60 >nul
::set /a i+=1
::if %i% LSS 100 goto syncTime
exit
wkl17
 楼主| 发表于 2015-11-25 11:20:47 | 显示全部楼层
这些软件真是无语啊,修改时间 好像是N个进程 来改的,N管齐下。我靠……
wkl17
头像被屏蔽
 楼主| 发表于 2015-11-30 17:22:59 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
qdlfk2
发表于 2015-12-9 12:32:45 | 显示全部楼层
不是主板电池没电了?
zhuyu2zhuyu
发表于 2015-12-15 15:27:54 | 显示全部楼层
你看一下时间同步服务器地址填写的是什么,可能是本地部署时间服务器了。
jinfu
发表于 2015-12-16 22:26:46 | 显示全部楼层
可以防止修改时间,但检测的话就有点困难,
yjwfdc
头像被屏蔽
发表于 2016-1-4 15:48:27 | 显示全部楼层
看批处理是用 time2.exe改时间,不断检查,如果没改成功就再运行一次time2.exe,直到永远。

有条命令是可以从其它电脑对时的,我忘记了,如果他是用这个方式,那就是系统进程改的时间。

如果想对时可以用我签名的软件,可以自动也可以手动对时,不知道你想怎样。
wkl17
 楼主| 发表于 2016-1-12 11:18:51 | 显示全部楼层
yjwfdc 发表于 2016-1-4 15:48
看批处理是用 time2.exe改时间,不断检查,如果没改成功就再运行一次time2.exe,直到永远。

有条命令是可 ...

已经搞定了,用ProcessMonitor或火绒监控一下就能揪出来了
shugint
发表于 2016-2-3 12:30:23 来自手机 | 显示全部楼层
请问 怎么用火绒来看,求操作方法啊!
hez2010
发表于 2016-2-6 00:32:35 | 显示全部楼层
shugint 发表于 2016-2-3 12:30
请问 怎么用火绒来看,求操作方法啊!

火绒剑
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 18:24 , Processed in 0.155979 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表