1.windows版：通过windows控制面板的“程序和功能”进行卸载，选择“开始”控制面板“添加/删除程序”，打开“添加/删除程序”窗口，找到欲删除的软件，点“添加/删除”，就可以把软件安全地卸载了。

2.Linux版：卸载linux版向日葵需要删除安装脚本，如何安装的就如何卸载，参见Linux版向日葵安装教程：

3.Mac版：卸载Mac版向日葵直接删除或者拖曳到废纸篓即可。

二、向日葵手机端软件卸载：

1.安卓（Android）手机主控端卸载：

在你的手机桌面上面找到“向日葵”的图标，长按图标拖废纸篓即可。或者，在手机的功能菜单中打开“工具”选项，进入“程序管理”，在“已安装的程序”中点选“向日葵”选项，按手机上的“选项”键，然后选择“删除”，在弹出的对话框中选“是”即可完成卸载。

2.苹果（IOS）手机主控端卸载：

在你的手机桌面上面找到“向日葵”的图标，然后长按图标，直至图标开始摆动。点击“向日葵”移动应用程序的左上角 。点击删除按钮，然后点击确定。

*上述操作内容和流程仅供参考。由于手机的品牌和型号的不同，部分步骤与实际操作可能略有不同，具体方法可参照您的手机说明书或咨询您的手机制造商。

从2019年以来，奇安信病毒响应中心就一直在关注国内黑产远控市场的发展，在移动端贩卖的远控主要以开源的源代码加壳为主，其余有些使用国外免费的版本的远控，比如我们之前披露过的《阿拉伯木马成功汉化，多款app惨遭模仿用于攻击》，只有极少数的在贩卖自己编写的远控程序，如披露过的《黑产新“基建”：沉淀在上游的“虚拟身份”制造机》，而在PC端除了我们已经披露过利用魔改大灰狼的金眼狗、金钻狗、金指狗等黑产组织外，我们还观察到有些二道贩子在贩卖合法远控，这引起了我们对这一领域的兴趣。

总的来说在长时间的调研后，我们认为黑产团伙对于合法远控软件的恶意利用，仍处于各自为战的“小农”经济时代，尚没有出现一个能够给各类黑产团伙提供完整解决方案的机构或者组织，离“工业化”时代还有很长的路要走。

合法的远程控制软件在未经用户允许的情况下被恶意安装本身并不新奇，之前我们已经披露过多起类似的攻击行动，但在2020年新冠病毒的阴影下，合法远程管理软件被滥用的情况格外严重，所涉及合法远控的种类和投递诱饵的数量远超以往，并且具有通用化的倾向。黑产团伙通过误导、欺骗、伪装的方式使用户在不知情的情况下安装合法远控软件实现远程控制，且合法远控一般都带有数字签名或者在杀软的白名单中，驻留程度高，对一般用户而言，没有办法轻易的删除和卸载，给个人及单位造成了极大的安全隐患。

经过长时间的收集和统计，我们发现大约有五款合法的远控深受华语黑客团伙的青睐，投递的样本主要通过zip压缩包的形式在各类社交群中进行传播，大部分诱饵会采用SFX的形式去静默安装合法远控软件，少数使用Lnk文件启动。下面我们会根据攻击对象分类，结合具体的案例进行分析。

为避免给合法远控软件造成不良的商誉影响，本文隐去了所有被黑产恶意利用的远控软件的名称。但仍然给出了部分软件界面截图，目的是帮助读者了解和识别远控软件，一旦看到电脑中出现类似软件界面，能够知道自己正在安装一款远控类软件，以免在不知情的情况下被误导安装。

在2019年时我们曾经发表了一篇名为《黑吃黑：揭秘零零狗团伙利用裸贷照片等诱惑性手段的攻击活动》的文章，其中提到零零狗团伙利用一款国外的远程控制软件对受害者进行远程控制，2020年初，我们观测到该组织还在活动，投递的诱饵压缩包如下：