|
发表于 2010-1-28 16:23:16
|显示全部楼层
本帖最后由 8100303 于 2009-11-25 11:31 编辑
看到某新闻 说是ViewUrl查看上网记录,于是下载了一个,看了看
查找字符串参考,发现如下:00401A6F mov edi, 0041C150 ASCII "Temporary Internet Files\Content.IE5\"
00401AA1 mov edi, 0041C144 ASCII "index.dat"
00401AD5 push 0041C178 ASCII "CurrentUser"
00401AF4 mov edi, 0041C12C ASCII "History\History.IE5\"
00401B26 mov edi, 0041C144 ASCII "index.dat"
复制代码在上面下断,后运行,点显示信息
断下。
这是可以看到,程序访问了index.dat这个文件来获取信息
如果文件不存在或许程序会恢复,我没有删除这两个地方的index.dat做实验,只是把程序里面的index.dat改了个名字,这样程序就找不到数据了。
所以,我们可以这样推断:
程序访问两处的index.dat来获取信息,如不存在不排除恢复这两个文件的可能。即删除后通过硬盘簇数据来获取一部分数据
如果想完全去除上网信息,一是查看这两个文件所在的簇位置然后覆盖数据,一是用文件粉碎机删除这两个文件即可。 |
|