北信源卸载工具

㈠ 如何绕过“北信源的控制并且可以自由使用电脑

●●●对北信源DeviceRegist.exe远程监控软件拦截心得

对北信源DeviceRegist.exe远程监控软件拦截心得：

北信源DeviceRegist远程监控软件近期受到政府部门广泛采用，它集网络监控、数据传输监控、后台

远程浏览控制对方PC机等功能，特别是它的远程进入对方PC机，可以浏览你的文件、安装的程序、近期机

器工作的动作，使你PC机像个裸体的女人一样暴露在远程偷窥者（单位网管）面前，另外你的PC机如果同

时内外网互连，立即将浏览外网页面的IP活动记录信息反馈到网管，即使你拔掉内网线再上外网是个最安

全的办法，但你在外网的访问IP活动记录已被DeviceRegist记录下来，你重新上内网时会把你前面在外网

的浏览信息反馈到内网服务器那里，网管可以查出你在外网的活动记录。
综上所述，DeviceRegist十足的是一个网路漏洞软件，对于监管内外网互连，造成信息泄露，起到了

一个较好的安全防范作用。
从网络安全的角度，DeviceRegist制作的比较完美，但从偷窥别人隐私的角度，它的手段太毒辣了，

甚至超过了其他的远程控制软件，用一般的卸载软件无法卸载它（它的几个内嵌文件基本上要系统管理员

才能铲除掉），也无法用知名的网络防火墙软件拦截它（它已经贿赂这些软件巨头了）。
本人从保护个人隐私的角度，对DeviceRegist进行过卸载测试，使用过“冰刃Icesword”、“完美卸

载2007”、修改注册表、msconfig均不能铲除它，DeviceRegist有较强的抗卸载能力。
DeviceRegist的进程运行特征：
启动windows任务管理器，可以看到vrvrf_c.exe、vrvedp_m.exe、vrvsafec.exe、watchclient.exe

四个文件，即DeviceRegist运行进程，内存占用20M以上。

经过N次测试，得出两个较为简单的铲除DeviceRegist方法：

方法一：修改服务
1、关机再开按F5进入安全模式，进去以后找到windows\system32下面watchclient.exe这个文件，你

把它重命名（不过要在dos方式下），它做成了一个服务，而且停不掉。
2、然后你去控制面板--管理工具--服务，找vrvwatchserver这个服务 应该就可以改成手动开始或者

禁用了。
提示：不过这么改了，管理员能看到你的状态是注册失败的。所以你还是等管理员大意时再搞。

方法二：直接屏蔽进程
使用KFW1417防火墙软件（下载地址为：http://www.onlinedown.net/soft/7892.htm) ，该软件为网

络安全防火墙，开发于2003年，由于公司名气较小，推广度不高，使用的人群较少，所以黑客研究和攻击

这个软件也较少，从本人使用5年的经验看（原有一个1410版），但功能较强，可以捕获并拦截探测你机

器的对方IP地址。
1、安装kfw1417完成后需要重新启动XP，启动XP后kfw1417会随XP自动启动，点击那个在右下角的kfw

防火墙图标进行设置，前面的顺序都是“下一步”，到有一个“下箭头”（更改专业界面）符号的界面时

，你点击它，出现总的专业界面。
2、在专业界面中，进入“应用程序规则”界面，你就会发现其中vrvrf_c.exe、vrvedp_m.exe、

watchclient.exe三个程序在活动，选中一个程序（方框打勾），再双击这个程序，出现本程序发送和接

收数据设置，把通过全部改成拦截，再将记录和发生打勾（可以不打勾），最后“确定”，即将这个程序

进程拦截掉了。按此方法把其他两个程序设置拦截。
3、在专业界面中，进入“跟踪信息记录”界面，你会看到被拦截的服务器信息，对方地址出现

127.0.0.1是狗日DeviceRegist在你的机器里像苍蝇一样乱撞（信息出不去），出现XX.XXX.XX.0是对方服

务器在猛敲你的门（进不来，被拦截了）。
4、KFW1417防火墙"跟踪信息记录"经常频繁出现的对方IP地址,协议名称为TCP,有可能是网管,你可以

进入"防火墙界面"添加一个网络防火墙规则,并进入"防火墙规则设置"在对方地址下找"IP地址",然后添加

那狗日的IP地址，在IP包设定里设置“两者都检查”，在拦截设定里设置“条件符合时拦截”，即把它狗

日在拦在门外了！
大功告成，你可以放心的在机器上干自己的私活了。
警告：
1、千万不要在安全模式下删除上述四个程序（可以删除四个程序），如遇网管检查你的机器是否卸

载掉DeviceRegist.exe，你就惨了。
2、启动kfw1417时间不要太长，别让网管发现网络异常（有人在拦截）。

有人说，拔掉网线干私活不是更好吗？但你必须使用系统机械师把机器的使用痕迹清除掉,否则你的

机器痕迹插上网线时还会反馈到网管那里。

vrvrf_c.exe、vrvedp_m.exe、watchclient.exe是啥鸟，在我机器上出现的异常程序统统拦截，对不起，

我不知道是你们在给我下药。
哈哈哈＾＿＾！
参考资料：在此感谢网络上的朋友

㈡ U盘被安装国家电网的EdpEDisk，哪位能帮忙把这个卸载，还原成普通U盘啊

用对应型来号的量产工具量产即可源恢复普通U盘，不过里面的数据就丢失了。用北信源的安全U盘制作工具可以制作同样的加密U盘。另外这种加密U盘在忘记密码，又找不到当初制作的机器进行密码重置的情况下，也可以通过非常规的方法恢复密码和保护区的数据。

㈢ 电脑出现文件保护怎么解决

出现这个windows文件保护问题 插入光盘windwos xp professional service pack 是可以修复的 但使用不久糸统依然会出现
出现这个windows文件保护真正问题有两种
一 北信源的劳拉病毒（试过把系统重新安装 仍然出现 90%是病毒）
升级你的杀毒软件 在安全模式下查杀
二 你的Windows所需的文件已经被替换成无法识别的版本 修复方法有以下几种
1.Windows文件保护并非时时刻刻都对那些受保护的文件进行扫描，如果你使用的是公用计算机，那么还是安全为好，在“开始→运行”对话框中键入“gpedit.msc”，打开“本地计算机策略→计算机配置→管理模板→系统”窗口，找到“Windows文件保护”组，在右侧窗格中双击“设置Windows文件保护扫描”项 你可以去选择启动还是关闭
2.可以在“运行”中输入“regedit”，打开“注册表编辑器”，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]右侧窗格中的SFCDisable值，其默认设置是0，即重新启动后不扫描受保护的文件
3.左下角左下脚开始—所有程序—附件—系统工具—系统还原 即可解决
4.打到系统盘，用下列办法修复
SFC是系统文件检查器，用于扫描所有受保护的系统文件并用正确的 Microsoft 版本替换不正确的版本?
命令格式：
SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x]
参数说明
/SCANNOW 立即扫描所有受保护的系统文件。
/SCANONCE 下次启动时扫描所有受保护的系统文件。
/SCANBOOT 每次启动时扫描所有受保护的系统文件。
/REVERT 将扫描返回到默认设置。
/PURGECACHE 清除文件缓存。
/CACHESIZE=x 设置文件缓存大小。
使用该命令时可以通过打开命令控制台来运行，方法如下：
开始－－运行，在其中输入command（98等系统）或cmd（2000以上系统），然后就可以用上面介绍的sfc命令了。

㈣ 谁知道怎样删除北信源内网管理软件客户端

1、在网上下载一个：北信源VRVEDP内网监控客户端－免密码卸载工具
然后（以管理员身份）运行，点击“卸载”按钮。

2、重新启动计算机。

3、将下列内容复制保存为 bat 文件，（以管理员身份）运行：
@echo off
echo **************************************************
echo * 北信源内网桌面监控客户端 清理批处理
echo * By davidhsing, on 2011-12-08
echo * For more information, please visit:
echo * http://blog.csdn.net/davidhsing
echo *
echo * 如果文件因拒绝访问而删除失败，请先执行卸载步骤并重启计算机。
echo **************************************************
echo *
echo * 正在删除 北信源桌面监控 Pcap 驱动 ...
del /f /q %SystemRoot%\System32\drivers\EdpPcap.sys
echo * 正在删除 北信源桌面监控 EDP 文件 ...
del /f /q %SystemRoot%\System32\Edp_FwLog.exe
del /f /q %SystemRoot%\System32\Edp802XKey.exe
del /f /q %SystemRoot%\System32\edpaudfliter.dll
del /f /q %SystemRoot%\System32\EdpAuthBk.dat
del /f /q %SystemRoot%\System32\EdpBKFile.dll
del /f /q %SystemRoot%\System32\EdpCdrom.dll
del /f /q %SystemRoot%\System32\edpCheckTemplete.xml
del /f /q %SystemRoot%\System32\EdpCltAuth.ini
del /f /q %SystemRoot%\System32\edpdisk.chm
del /f /q %SystemRoot%\System32\edpDiskInfoEx.dll
del /f /q %SystemRoot%\System32\EdpDNSA.dat
del /f /q %SystemRoot%\System32\EdpEapSwitch.exe
del /f /q %SystemRoot%\System32\EdpEDisk.dll
del /f /q %SystemRoot%\System32\EdpEDisk.exe
del /f /q %SystemRoot%\System32\EdpEDisk.sys
del /f /q %SystemRoot%\System32\edpfind.dll
del /f /q %SystemRoot%\System32\edpfunction.ini
del /f /q %SystemRoot%\System32\EdpFwRul.dat
del /f /q %SystemRoot%\System32\EdpFwRul.flg
del /f /q %SystemRoot%\System32\EdpGetHard.exe
del /f /q %SystemRoot%\System32\EdpHard.dll
del /f /q %SystemRoot%\System32\edpHardware.dll
del /f /q %SystemRoot%\System32\EdpHReg_C.dll
del /f /q %SystemRoot%\System32\edpidm.cat
del /f /q %SystemRoot%\System32\EdpIdm.inf
del /f /q %SystemRoot%\System32\EdpIdm.sys
del /f /q %SystemRoot%\System32\EdpIdm_m.inf
del /f /q %SystemRoot%\System32\edpidm_x64.cat
del /f /q %SystemRoot%\System32\EdpIdm_x64.sys
del /f /q %SystemRoot%\System32\EdpIdmI.dll
del /f /q %SystemRoot%\System32\EdpIdmPacket.dll
del /f /q %SystemRoot%\System32\edpimlog.dll
del /f /q %SystemRoot%\System32\EdpIMMonitor_c.dll
del /f /q %SystemRoot%\System32\edpkillv.exe
del /f /q %SystemRoot%\System32\EdpKMLock.exe
del /f /q %SystemRoot%\System32\Edplibeay32.dll
del /f /q %SystemRoot%\System32\edplimit.key
del /f /q %SystemRoot%\System32\edpLimit3.key
del /f /q %SystemRoot%\System32\EdpMenuInfo.ini
del /f /q %SystemRoot%\System32\EdpMsgShow.exe
del /f /q %SystemRoot%\System32\EdpNclt.exe
del /f /q %SystemRoot%\System32\edpnfp.dat
del /f /q %SystemRoot%\System32\edpoem.win
del /f /q %SystemRoot%\System32\edpoem.win1
del /f /q %SystemRoot%\System32\EdpPacket.dll
del /f /q %SystemRoot%\System32\EdpPacket_2k.dll
del /f /q %SystemRoot%\System32\EdpPacket_nt4.dll
del /f /q %SystemRoot%\System32\EdpPacket_vista.dll
del /f /q %SystemRoot%\System32\EdpPatch.crc
del /f /q %SystemRoot%\System32\EdpPatchInfo.dat
del /f /q %SystemRoot%\System32\EdpPcap.dll
del /f /q %SystemRoot%\System32\EdpPcap.sys
del /f /q %SystemRoot%\System32\EdpPcap_64.sys
del /f /q %SystemRoot%\System32\EdpPcap_nt4.sys
del /f /q %SystemRoot%\System32\EdpPort.dll
del /f /q %SystemRoot%\System32\EdpProcess.crc
del /f /q %SystemRoot%\System32\EdpProcessFlux.XSL
del /f /q %SystemRoot%\System32\EdpProcFlow.dll
del /f /q %SystemRoot%\System32\EdpPromptUI.dll
del /f /q %SystemRoot%\System32\EdpPromptUI.exe
del /f /q %SystemRoot%\System32\edppromptui2.dll
del /f /q %SystemRoot%\System32\EdpProtect.ini
del /f /q %SystemRoot%\System32\EdpProtectSelf.dll
del /f /q %SystemRoot%\System32\EdpRegMon.dll
del /f /q %SystemRoot%\System32\edpRemote.exe
del /f /q %SystemRoot%\System32\EdpRf_inf.dll
del /f /q %SystemRoot%\System32\EdpSafeCertify.dll
del /f /q %SystemRoot%\System32\edpscopehook.dll
del /f /q %SystemRoot%\System32\edpscr.dll
del /f /q %SystemRoot%\System32\edpscr_c.exe
del /f /q %SystemRoot%\System32\edpscr_s.exe
del /f /q %SystemRoot%\System32\edpsdll1.dll
del /f /q %SystemRoot%\System32\edpsdll2.dll
del /f /q %SystemRoot%\System32\edpSeccheck.dll
del /f /q %SystemRoot%\System32\edpsecurityburn.data
del /f /q %SystemRoot%\System32\edpSecurityBurn.dll
del /f /q %SystemRoot%\System32\EdpSecurityCheck.exe
del /f /q %SystemRoot%\System32\edpSetup.log
del /f /q %SystemRoot%\System32\EdpSetupAPI64.dll
del /f /q %SystemRoot%\System32\EdpSigner.exe
del /f /q %SystemRoot%\System32\edpSnap.dll
del /f /q %SystemRoot%\System32\EdpSoft.dll
del /f /q %SystemRoot%\System32\EdpSoftware.crc
del /f /q %SystemRoot%\System32\Edpssleay32.dll
del /f /q %SystemRoot%\System32\EdpTools.exe
del /f /q %SystemRoot%\System32\EdpTrayIcon.exe
del /f /q %SystemRoot%\System32\EdpUnPatch.exe
del /f /q %SystemRoot%\System32\EdpUSB.dll
del /f /q %SystemRoot%\System32\EDPUsbInterface.dll
del /f /q %SystemRoot%\System32\Edpuuid.dll
del /f /q %SystemRoot%\System32\EdpVerifySign.dll
del /f /q %SystemRoot%\System32\EdpVirLog.dll
del /f /q %SystemRoot%\System32\EdpVistaDlg.exe
del /f /q %SystemRoot%\System32\EdpVistaDlg.exe.bak
del /f /q %SystemRoot%\System32\EDPVSC.EXE
del /f /q %SystemRoot%\System32\edpvscap.exe
del /f /q %SystemRoot%\System32\EdpwPacket.dll
del /f /q %SystemRoot%\System32\EdpXclt.exe
del /f /q %SystemRoot%\System32\EdpXclt.rpt
del /f /q %SystemRoot%\System32\edpxcltset.ini
del /f /q %SystemRoot%\System32\EdpZip.dll
echo * 正在删除 北信源桌面监控 VRV 文件 ...
del /f /q %SystemRoot%\System32\vrv_virusdatabase.XML
del /f /q %SystemRoot%\System32\vrvarp.exe
del /f /q %SystemRoot%\System32\vrvarpl.exe
del /f /q %SystemRoot%\System32\vrvaud_c.dll
del /f /q %SystemRoot%\System32\Vrvaud_c.sys
del /f /q %SystemRoot%\System32\VRVAUD_C.VXD
del /f /q %SystemRoot%\System32\Vrvaud_c64.sys
del /f /q %SystemRoot%\System32\vrvaudsf.sys
del /f /q %SystemRoot%\System32\vrvaudsf2k.sys
del /f /q %SystemRoot%\System32\vrvaudsf64.sys
del /f /q %SystemRoot%\System32\VrvBkFile.log
del /f /q %SystemRoot%\System32\Vrvctl.ocx
del /f /q %SystemRoot%\System32\vrvdelarp.exe
del /f /q %SystemRoot%\System32\vrvedp_m.dll
del /f /q %SystemRoot%\System32\VRVEDP_M.EXE
del /f /q %SystemRoot%\System32\VrvEdp_m.exe.bak
del /f /q %SystemRoot%\System32\vrvedp_m.exe.sig
del /f /q %SystemRoot%\System32\vrvedp_m.hk
del /f /q %SystemRoot%\System32\VrvEdp_m.rpt
del /f /q %SystemRoot%\System32\vrvfind.dll
del /f /q %SystemRoot%\System32\VRVFluxInfo.dll
del /f /q %SystemRoot%\System32\VrvFw.sys
del /f /q %SystemRoot%\System32\VRVFW.VXD
del /f /q %SystemRoot%\System32\vrvFw_c.dll
del /f /q %SystemRoot%\System32\VRVFW_D.VXD
del /f /q %SystemRoot%\System32\VrvFwInstall.exe
del /f /q %SystemRoot%\System32\VRVHOOK.DLL
del /f /q %SystemRoot%\System32\Vrvhw_c.dll
del /f /q %SystemRoot%\System32\VrvKeyBoard.dll
del /f /q %SystemRoot%\System32\vrvkeymon.dll
del /f /q %SystemRoot%\System32\VrvKS_c.dll
del /f /q %SystemRoot%\System32\VRVPerTemplate.exe
del /f /q %SystemRoot%\System32\vrvpolicy.xml
del /f /q %SystemRoot%\System32\vrvprt_c.dll
del /f /q %SystemRoot%\System32\vrvprt_c1.dll
del /f /q %SystemRoot%\System32\vrvpwk.dll
del /f /q %SystemRoot%\System32\vrvpz.ini
del /f /q %SystemRoot%\System32\vrvrf_c.exe
del /f /q %SystemRoot%\System32\vrvrf_c.lg
del /f /q %SystemRoot%\System32\vrvrf_cInterface.dll
del /f /q %SystemRoot%\System32\vrvrf_d.lg
del /f /q %SystemRoot%\System32\VRVRF_IE.EXE
del /f /q %SystemRoot%\System32\vrvrf_m.lg
del /f /q %SystemRoot%\System32\vrvrun_c.dll
del /f /q %SystemRoot%\System32\Vrvsafec.exe
del /f /q %SystemRoot%\System32\vrvsc_c.dll
del /f /q %SystemRoot%\System32\vrvsdll1.dll
del /f /q %SystemRoot%\System32\vrvsdll2.dll
del /f /q %SystemRoot%\System32\VrvSetup.ini
del /f /q %SystemRoot%\System32\VrvSnap.dll
del /f /q %SystemRoot%\System32\VrvSniffer.exe
del /f /q %SystemRoot%\System32\VRVSOFTDB.xml
del /f /q %SystemRoot%\System32\vrvsys_c.xml
del /f /q %SystemRoot%\System32\VRVTrustVerify.dll
del /f /q %SystemRoot%\System32\VrvZip.dll
echo * 正在删除 北信源桌面监控 安装/卸载 文件 ...
del /f /q %SystemRoot%\System32\InstallIdm.exe
del /f /q %SystemRoot%\System32\InstallIdm_x64.exe
del /f /q %SystemRoot%\System32\UnInstallEdp.*
del /f /q %SystemRoot%\System32\WatchClient.*
del /f /q %SystemRoot%\System32\VirusSTDB.xml
echo * 正在删除 北信源桌面监控 残留目录 ...
rd /s /q %SystemRoot%\System32\AntiToolPack
rd /s /q %SystemRoot%\System32\Language
rd /s /q %SystemRoot%\System32\Pic
rd /s /q %SystemRoot%\System32\SysMenu
rd /s /q %SystemRoot%\System32\SysUtility
echo 正在删除 北信源桌面监控 日志文件 ...
del /f /q %SystemRoot%\..\edpmain.log
del /f /q %SystemRoot%\..\regist.log
del /f /q %SystemRoot%\..\vrvdata.dat
echo *
echo * 已删除 北信源内网桌面监控客户端 所有文件。按任意键退出！
echo **************************************************
pause
@echo on
exit

至此清理完成！

注意
如果卸载了北信源桌面监控，会受到其他安装了监控的机器的 ARP 攻击导致无法上网。
故需要安装支持 ARP 防护功能的防火墙软件，例如 360安全卫士 或 天网防火墙。