搜索
查看: 18865|回复: 10
收起左侧

[讨论] 学校机房一开机就改时间,可有工具可以监视是哪个进程修改的?

[复制链接]
wkl17
发表于 2015-11-25 11:18:58 | 显示全部楼层 |阅读模式
学校机房一开机就改时间,可有工具可以监视是哪个进程修改的?

事实 上 我已经用 Sysinternals 的 procmon.exe 找出了其中几个进程,但当时对procmon使用还不太熟悉(主要是捕获的数据太多,过滤不好过滤),可能有漏了进程。不过不太想折腾了,因为又要重新来一次,很费时间。
所以想知道是否有什么进程 可以直接监视到 是哪个进程 修改了时间?
感觉是从 教师服务端 发送的命令 过来修改学生机的时间的。每次都会修改为2011年的时间,以此来维持软件激活状态。唉。


=============
@echo off
title 同步时间 by wkl17 @ 2015.10.22
echo 同步时间 by wkl17 @ 2015.10.22
set i=1
:syncTime
taskkill /im run.exe /f
if exist "C:\Program Files\OsEasy\LGClient\Run.exe" ren "C:\Program Files\OsEasy\LGClient\Run.exe" OldRun.exe
taskkill /im runex.exe /f
if exist "C:\Program Files\OsEasy\AMClient\RunEx.exe" ren "C:\Program Files\OsEasy\AMClient\RunEx.exe" OldRunEx.exe
taskkill /im ProtectEx.exe /f
if exist "C:\Program Files\OsEasy\AMClient\ProtectEx.exe" ren "C:\Program Files\OsEasy\AMClient\ProtectEx.exe" OldProtectEx.exe
taskkill /im Protect.exe /f
if exist "C:\Program Files\OsEasy\LGClient\Protect.exe" ren "C:\Program Files\OsEasy\LGClient\Protect.exe" OldProtect.exe
if exist "C:\Program Files\OsEasy\" ren "C:\Program Files\OsEasy" Old.OsEasy
if exist "C:\Program Files\GoldenSoft\LanStar 7.0" ren "C:\Program Files\GoldenSoft\LanStar 7.0" "Old.LanStar 7.0"
start /min "" time2.exe
ping 127.0.0.1 -n 15 >nul
start /min "" time2.exe
ping 127.0.0.1 -n 15 >nul
taskkill /im time2.exe /f
::ping 127.0.0.1 -n 60 >nul
::set /a i+=1
::if %i% LSS 100 goto syncTime
exit
wkl17
 楼主| 发表于 2015-11-25 11:20:47 | 显示全部楼层
这些软件真是无语啊,修改时间 好像是N个进程 来改的,N管齐下。我靠……
wkl17
头像被屏蔽
 楼主| 发表于 2015-11-30 17:22:59 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
qdlfk2
发表于 2015-12-9 12:32:45 | 显示全部楼层
不是主板电池没电了?
zhuyu2zhuyu
发表于 2015-12-15 15:27:54 | 显示全部楼层
你看一下时间同步服务器地址填写的是什么,可能是本地部署时间服务器了。
jinfu
发表于 2015-12-16 22:26:46 | 显示全部楼层
可以防止修改时间,但检测的话就有点困难,
yjwfdc
发表于 2016-1-4 15:48:27 | 显示全部楼层
看批处理是用 time2.exe改时间,不断检查,如果没改成功就再运行一次time2.exe,直到永远。

有条命令是可以从其它电脑对时的,我忘记了,如果他是用这个方式,那就是系统进程改的时间。

如果想对时可以用我签名的软件,可以自动也可以手动对时,不知道你想怎样。
wkl17
 楼主| 发表于 2016-1-12 11:18:51 | 显示全部楼层
yjwfdc 发表于 2016-1-4 15:48
看批处理是用 time2.exe改时间,不断检查,如果没改成功就再运行一次time2.exe,直到永远。

有条命令是可 ...

已经搞定了,用ProcessMonitor或火绒监控一下就能揪出来了
shugint
发表于 2016-2-3 12:30:23 来自手机 | 显示全部楼层
请问 怎么用火绒来看,求操作方法啊!
hez2010
发表于 2016-2-6 00:32:35 | 显示全部楼层
shugint 发表于 2016-2-3 12:30
请问 怎么用火绒来看,求操作方法啊!

火绒剑
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-10-15 07:23 , Processed in 0.071713 second(s), 17 queries .

快速回复 返回顶部 返回列表