刚刚测了一下 他会在你windows内产生几个档案 (以我这边的测试啦) 因为用HIPS在测的时候他说直接对记忆体做存取所以看不出他有写什麽讯息 不过我用系统扫瞄软体去检查(EFix465，测试机上只有这个) 检查出他在system32资料夹内产生几个档案 c:\windows\system32\rockts.com c:\windows\system32\rockts.dat c:\windows\system32\klog.dat 其中klog.dat是文字讯息 看了一下基本上是会监控作业中视窗的视窗标题 然後将你键盘输入的资料记录起来(键盘监控) 那因为我测试机没装防火墙所以不知道他有没有上传动作 建议你去看一下那个klog.dat，看一下他是不是有记录你的一些资讯 有的话建议你到他里面有显示资讯的地方改一下比较好 喔对了顺便提他写入的登录值(确定是他写的，其他有新增的我不敢确定就不打了) hklm\system\currentcontrolset\services\rockts 这边是服务挂载。 还有hklm\system32\currentcontrolset\enum\root\legacy_rockts 这是对应上面服务的资料 基本上我这边查到就这样而已...看有没有其他高手实地去测一下看看 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 210.68.130.155 ※ 编辑: junorn 来自: 210.68.130.155 (05/21 10:08) ※ 编辑: junorn 来自: 210.68.130.155 (05/21 10:11) ※ 编辑: junorn 来自: 210.68.130.155 (05/21 10:18) ※ 编辑: junorn 来自: 210.68.130.155 (05/21 11:51)