清除Absolute追踪软件
2021/4/15 网络安全
# 清除Absolute防盗追踪软件
内容仅供学习和参考,禁止用于非法用途。
内容仅供学习和参考,禁止用于非法用途。
内容仅供学习和参考,禁止用于非法用途。
# 起因
由于学业需求,从某鱼上捡来一台Surface 3,使用一段时间后发现疑似存在恶意软件,且重装系统无法清除,BIOS设置内无任何设置选项。
- 疑似恶意程序&进程
- 强制托管Chrome,插件名也极为邪恶
后面发现是Absolute公司的一个防盗追踪软件,国内部分大学官网已提供解决方案,但在我的Surface上均不起作用,故找出了新的解决方案。
# 分析
程序固化在BIOS固件中,最佳方案为换主板/刷BIOS。但以上方法并非最低成本解决方案。
经过简单分析,程序固化在BIOS中,仅有rpcnetp.exe一个文件,每次电脑开机时自动检测并嵌入到Windows系统中,如果电脑中没有完整的Absolute软件,等待连接到网络后将自动下载并安装,以此使软件保活。
# 实施
清除方案:
- 以下过程需要全程断网
- 重置系统,进入系统后在进程列表能找到名为rpcnetp的进程(以服务形式)
- 在桌面上新建一个txt,命名为rpcnetp.exe(需更改拓展名)
- 更改桌面上的rpcnetp.exe文件属性,勾选“只读”、“加密内容以保护数据”。
- 更改桌面上的rpcnetp.exe文件属性,“高级安全设置”内将 STSTEM , Administrators 设为 拒绝完全控制。
- 保存桌面上的rpcnetp.exe的文件属性
- 打开任务管理器,结束rpcnetp进程
- 将桌面上的rpcnetp.exe拷贝到 C:\Windows\System32 并选择覆盖已存在文件。
# 重启电脑
此时重启的开机速度会比之前的开机速度慢30秒左右,但不影响关机后再开机的开机速度
前提:启用了“快速启动”功能并能够正常运作。
系统启动后,任务管理器已不存在rpcnetp进程,Absolute防盗追踪软件已被移除且在重装系统前无法自动修复和启动。(前提:请勿删除从桌面替换的"C:\Windows\System32\rpcnetp.exe" )
清除已完成,连接到网络,正常使用电脑即可!