联想电脑管家卸载残留完整分析（二）其他组件分析及建议和如何删除残留

2022-12-28 22:02| 来源: 网络整理| 查看: 265

2.ludp.dll模块分析

其导出函数表如下：

Ludp 导出函数表initialize2 函数trackEvent2 函数

根据Ludp模块日志信息及数据库信息中，可以判断此模块是联想的程序运行状态回报的模块，其可以将自身程序的运行状态记录发送。日志中我们可以看到某些人从火绒剑发现的其发送数据的服务端IP地址，即120.133.59.141，那这里它发送的数据到底是什么，由于其采用的是HTTPS协议且校验证书，这里为了抓到其来往数据明文，将采用HOOK其收发数据代码以截取到数据，这里使用微软detours库进行对winhttp模块进行挂钩以拦截ludp模块的HTTPS数据收发动作，拦截到的数据如下：

拦截到的数据

总结：Ludp.dll模块为运行日志回报组件，用于记录其自身运行状态向服务器回报，如服务启动将发送LISF START，心跳数据为LISF HEARTBEAT，未上传隐私数据。

3.LISFProt.exe 分析

LISFProt.exe 入口LISFProt.exeLISFProt.exe

分析：加载LenProtectDrvSDK.dll模块，调用其InstallProtectDrv/UninstallProtectDrv，安装/卸载）lrtp.sys驱动，调用SendProtectDrvCmd_AddProtectProcessList/SendProtectDrvCmd_DelProtectProcessList（启动/关闭）对自身的保护。

4.LenProtectDrvSDK.dll 模块分析

InstallProtectDrv 函数

分析：安装保护驱动

SendProtectDrvCmd_AddProtectProcessList 函数

分析：通知R0层驱动添加对进程的保护。

5.lrtp.sys 驱动分析

lrtp.sys 入口lrtp.sys

分析：通过ObRegisterCallbacks等函数注册内核过滤回调，实现保护文件/进程/注册表项等功能，使用FltCreateCommunicationPort注册通信端口与应用层通信。

总结：LISFProt.exe为安装/卸载驱动保护程序，lrtp.sys为R0层保护驱动，LenProtectDrvSDK.dll为R3与R0通信模块。

6.LenovoInternetSoftwareFramework.exe 分析

LenovoInternetSoftwareFramework.exe 入口点加载 LsfSdk.dll模块LenovoInternetSoftwareFramework.exe 心跳包发送

分析：LenovoInternetSoftwareFramework.exe为联想消息推送组件，负责服务器向客户端的消息推送，其自身仅为消息推送中间件，自身无其他行为。

7.LsfSdk.dll 模块分析

导出函数表LsfSdk.dll InitLsfSdk.dll 启动Lsf.exeLsfSdk.dll GetLsfUserIdByGroup函数

分析：联想账号管理组件SDK，启动Lsf.exe，并与Lsf.exe通信实现联想账号管理功能。

8.Lsf.exe 分析

Lsf.exe 入口点ACTION_GETUSERID_BYGROUP

分析：Lsf.exe为联想账号管理组件，用于管理联想账号。

总结：

1.LISFService.exe为LISF服务，负责启动LenovoInternetSoftwareFramework.exe。

2.ludp.dll为日志记录模块，用于记录其程序运行状态向服务器回报，也就是某些人在火绒剑中看到的上传数据的模块，在不知道发送的数据是什么的情况下恶意猜测，这里已经将其发送数据解密后查看，其数据为其自身程序运行状态记录，未上传隐私数据。

3.LISFProt.exe为驱动保护组件安装/卸载程序，控制驱动保护组件的安装与卸载。

4.LenProtectDrvSDK.dll模块为应用层R3与内核层R0通信模块，负责与保护驱动通信。

5.lrtp.sys为内核层R0驱动，负责实现进程/文件/注册表等保护功能。

6.LenovoInternetSoftwareFramework.exe为联想推送组件，负责服务器向客户端的消息推送，其自身仅为消息推送中间件，自身无其他行为。

7.LsfSdk.dll为联想账号管理SDK模块，负责启动Lsf.exe账号管理组件，并与其通信实现联想账号管理功能。

8.Lsf.exe为联想账号管理组件，负责管理联想账号。

经以上分析，其载残留不存在窃取隐私及后门行为，为消息推送组件及联想账号管理组件，数据通信为自身运行日志数据、心跳数据、联想账号登录等，也未发现残留存在云控或自动更新功能，有些人左喊一个云控，右喊一个后门，所有卸载残留并没有混淆或加壳，如果真的存在你怀疑的东西，那一定可以用IDA定位到代码，凭火绒剑的初步分析加猜测没意思，请用IDA给出具体代码位置，不要搞什么薛定谔的量子云控后门。

但其存在驱动保护导致其不太容易被删除，所以这里的行为不太文明，这里建议官方在软件主体已卸载后，同时将已不再使用的自身组件一并删除，虽然残留组件无窃取隐私行为，但加载驱动保护其推送组件的行为略有不妥，希望官方改善此方面操作行为。这里仅对官方提出善意建议，非某人无端谩骂与指责但不提出任何建设性意见及解决方案的行为，本人的价值观为善意客观指出国内厂商存在的问题，希望其听取并改进，希望国内厂商都可以越来越好，而非某些人的恶意揣测及希望将国内厂商锤到倒闭的恶意思路，如果你是对国内厂商充满恶意的想法，请勿跟本人多说一个字。简而言之本人与某些人价值观的区别是，本人将国内厂商视为朋友，为朋友提出善意的建议是希望朋友改正缺点越来越好，而某些人是将国内厂商视为敌人，恶意揣测并将问题放大并希望将国内厂商锤死。

另外对于希望将其卸载残留彻底删除的用户，这里编写了一个一键删除脚本，将以下脚本内容新建文本保存，然后将后缀名改为.bat，然后右键以管理员身份运行脚本即可一键删除其卸载残留（如果是正在使用联想系列软件的用户，请勿运行以下脚本，以免造成其功能异常）：

新建文本文档 - 复制脚本内容保存 - 修改后缀名为.bat - 右键以管理员身份运行脚本

@echo off

set lisf_path=C:\Program Files (x86)\Lenovo\LenovoInternetSoftwareFramework

"%lisf_path%\LISFProt.exe" /uninstalldrv

taskkill /f /im LISFService.exe

taskkill /f /im LenovoInternetSoftwareFramework.exe

taskkill /f /im Lsf.exe

sc delete LISFService

rd /s /q "%ProgramFiles%\Lenovo\Lsf"

rd /s /q "%ProgramFiles(x86)%\Lenovo\Lsf"

rd /s /q "%lisf_path%"

【本文地址】

公司简介

联系我们