ViewUrl原理之简单分析
看到某新闻 说是ViewUrl查看上网记录,于是下载了一个,看了看查找字符串参考,发现如下: [*]00401A6F mov edi, 0041C150 ASCII "Temporary Internet Files\Content.IE5\"[*]00401AA1 mov edi, 0041C144 ASCII "index.dat"[*]00401AD5 push 0041C178 ASCII "CurrentUser"[*]00401AF4 mov edi, 0041C12C ASCII "History\History.IE5\"[*]00401B26 mov edi, 0041C144 ASCII "index.dat"
复制代码
在上面下断,后运行,点显示信息
断下。
这是可以看到,程序访问了index.dat这个文件来获取信息
如果文件不存在或许程序会恢复,我没有删除这两个地方的index.dat做实验,只是把程序里面的index.dat改了个名字,这样程序就找不到数据了。
所以,我们可以这样推断:
序访问两处的index.dat来获取信息,如不存在不排除恢复这两个文件的可能。即删除后通过硬盘簇数据来获取一部分数据
如果想完全去除上网信息,首先可以用finaldata之类的软件查看硬盘上index.dat文件所在的簇,然后 用文件粉碎机删除这两个文件即可。 呵呵,没错~!
页:
[1]