剛剛測了一下 他會在你windows內產生幾個檔案 (以我這邊的測試啦) 因為用HIPS在測的時候他說直接對記憶體做存取所以看不出他有寫什麼訊息 不過我用系統掃瞄軟體去檢查(EFix465，測試機上只有這個) 檢查出他在system32資料夾內產生幾個檔案 c:\windows\system32\rockts.com c:\windows\system32\rockts.dat c:\windows\system32\klog.dat 其中klog.dat是文字訊息 看了一下基本上是會監控作業中視窗的視窗標題 然後將你鍵盤輸入的資料記錄起來(鍵盤監控) 那因為我測試機沒裝防火牆所以不知道他有沒有上傳動作 建議你去看一下那個klog.dat，看一下他是不是有記錄你的一些資訊 有的話建議你到他裡面有顯示資訊的地方改一下比較好 喔對了順便提他寫入的登錄值(確定是他寫的，其他有新增的我不敢確定就不打了) hklm\system\currentcontrolset\services\rockts 這邊是服務掛載。 還有hklm\system32\currentcontrolset\enum\root\legacy_rockts 這是對應上面服務的資料 基本上我這邊查到就這樣而已...看有沒有其他高手實地去測一下看看 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.68.130.155 ※ 編輯: junorn 來自: 210.68.130.155 (05/21 10:08) ※ 編輯: junorn 來自: 210.68.130.155 (05/21 10:11) ※ 編輯: junorn 來自: 210.68.130.155 (05/21 10:18) ※ 編輯: junorn 來自: 210.68.130.155 (05/21 11:51)