【常用的反监控（winrdlv3）方法winrdlv3】

常用的反监控（winrdlv3）方法winrdlv3

方案一：使用silent terminal 禁用 sdhelper2.exe和winrdlv3.exe两个程序进程，
加密进程终止或者可以只中止sdhelper2则不会加密也不会被管理员发现监听等

方案二：C:\Program Files (x86)\Common Files\System\ 直接用火绒剑粉碎winrdgv3.exe则不会再次启动

常用的反监控方法：
1 . 最多的是双系统法，一个系统安装监控，用来正常办公用，也用来应付网管；

一个系统不安装监控，用来上网，以及做跟工作无关的其他事情。

这种方法很容易被网管发觉。但是最简单。

2 . 软件散列规则法（或哈希规则法），运行Gpedit.msc

计算机配置→ windows设置 → 安全设置→ 软件限制策略→ 其他规则（如果没有这个选项，右键单击“软件限制策略”→ 添加策略）→

右键单击“其他规则”→新散列规则（或哈希规则）→ 浏览 → 系统盘:Program FilesCommon FilesSystem →

选中winrdgv3.exe ，打开，确定。

→ 安全级别，不允许的。

用这种方法，至少可以达到取消上网限制的目的，可以自由上网，而且依然在服务器中显示为受监控状态；

3 . NTFS权限法 ：修改 WINDOWSsystem32系统目录下的 rundll32.exe

文件的NTFS权限，这种方法需要系统盘分区格式为NTFS 格式，先在文件夹选项→ 查看

界面，取消“使用简单文件夹共享”，然后，右键单击rundll32.exe 文件→ 属性 → 安全 → 高级→ 权限 → 取消“从父项继承…… ”→

复制 →

返回到“安全”选项卡，把每个帐户的“读取和运行”权限取消（取消√），保留读取权限。重启后，就无法监控了，也可以自由上网了。但这时，在监控服务器上，显示为没有受监控。

如果不是NTFS格式的分区，可以在CMD命令行窗口，用convert C: /fs:ntfs 命令转换。

4 . 用防火墙屏蔽端口法 ：把本机和远程的8235 和 8237 端口屏蔽，包括TCP 和 UDP

端口；这样，被监控电脑就跟服务器失去联系了，但是，一旦重新连接服务器，监控数据仍然可能自动上传到服务器上，而且，一般不能解除被屏蔽的网络。

也可以用IP安全策略屏蔽这两个端口。

5 . 如果要彻底删除监控软件，根据上文提到的文件名称或模块名称，全部删除；

并且删除上文中提到的注册表里面的键项。

值得注意的是，系统盘:Program FilesCommon FilesSystem 里面的winrdgv3.exe

很难在被监控的系统已经启动的情况下删除，即使用最强的Unlocker 也不能删除。

在PE系统或DOS下可以顺利删除。

6 .在pe系统中将

c:\windows，c:\windows\system32，C:\Windows\SysWOW64
c:\windows\system32\drivers，c:\program files\common files\system

四个文件夹下，所有属性内（从文件栏题头右键，其他，中调出“公司”选项）公司名称为
TEC Solutions Limited. 的文件全部删除，亲测完美解除监控，系统正常。

更多详情可以参考这里