反 RG上网记录检测 工具与方法(应邀贴)

千里同风

前面发贴请高人给个能对抗RG上网记录检查的工具，始终无人给出，通过反复百度测试，终于找到一种工具和方法实现“免检”。虽然此法能对抗上网记录检测，但可能对操作系统及软件造成损坏，所以回贴中未给出工具名称及方法就直接让版主锁贴。后不断有人来信要求公布该工具及方法，故特发此贴。

声明：此方法容易导致系统出错，不建议使用，否则责任自负。

工具：winhex

方法：打开逻辑分区C：(假设上网缓冲区在C：)，点击菜单栏 选项之“编辑模式”，选“替换模式”后确定。
替换字符串“http://”为“ht*p://”(或其它字数相等的字符串也可，也可用对应的HEX值替换)直到全部完成。
就是说，RG检测是根据磁盘上的特征码 “http://”进行，破坏该特征即能躲过。为了反向替换回来，建议保留一定字符特征。
以上方法在XP系统上实际测试通过，不保证其它系统可行。如果替换后系统或软件出错，可反向替换回去(即 ht*p://  ----> http://)。

再强调一遍：此法可能导致不可预料的错误，使用前务必三思。如果出现问题，责任自负。

穿越星空

　　如此替换，打击面也太大了吧，系统可以正常使用吗？

千里同风

是的，这样替换容易导致系统出错，主要是导致核心文件校验和出错和数字签名不可用。
解决方法一是备份系统核心文件，只几个，二是用ghostexp读取那几个特殊文件到系统分区即可

银砾石

把临时文件放到ramdisk上呢？

千里同风

回复 4# 银砾石

那就和使用PE系统上网差不多了。
本方法是针对已经以C盘为缓冲上网很久的电脑反检测，网上类似讨论也不少，但要根本解决问题，可能要用winhex就整个C盘（0~63扇区除外）填值数次，否则都有侥幸成份，不排除有软件会检测到（本人亲眼见过联合组织检测的厉害，他们能够检测到内存容器、本机磁盘、网关或某级服务器上的记录，也不知是什么软件，就一张光盘和一支加密狗）。
除犯罪性质外，个人用户信息是不应被组织或其它人扫描的，包括上网记录，在某种情况下，重装系统、格式化整个磁盘都可能会用到。

olly

这个问题貌似有讨论过了，，
教主不是写了个小工具么，LZ可以试试~~·

千里同风

报告OLLY
所提供工具能对抗RG检测（仅剩33/7992项记录未清除），另外的两款无法试验。
谢谢

该工具也会对系统轻微伤害，VISTA系统启动时能自行修复，一般不用。

olly

报告OLLY
所提供工具能对抗RG检测（仅剩33/7992项记录未清除），另外的两款无法试验。
谢谢

该工具也会 ...
千里同风 发表于 2009-12-19 17:52

这个东西我只测过一两次，他的代码是逐扇区检查的，因此对磁盘损耗很大，其实你可以反编译一下RG看看他是怎么检测的，再做针对性的对抗。

上次测试火流星泄露内存时我一狠心测试了1000次枚举磁盘文件，那硬盘吱吱的声音现在想起来都后怕。。。。

beauking

使用 WYWZ 不是更能清理彻底啊

drweb26

看的很糊涂，如果用楼主的方法处理一下，然后再重新ghost遍系统如何