全面剖析3721及上網助手(深山紅葉)
3721真的能夠卸載乾淨嗎?
3721真的僅僅是一箇中文上網這麼簡單嗎?
3721對網絡甚至對國家安全的危害僅僅是您目前所認識到的嗎?
3721自稱的“詳細技術情況”真的給您知情權了嗎?
3721上網助手真的是您的什麼“助手”嗎?
全面揭露 觸目驚心!
3721作爲一種可自動安裝的、普及率極廣的一種網絡程序,近年來對之的爭議頗多。本文試圖從安裝、卸載工、服務、系統影響等各個方面列舉系列客觀事實,有關觀點僅代表筆者個人意見,拿出來與大方之家商榷,相信大家見仁見智各有自己的結論,同時也希望以此引起有關部門的注意。
測試環境:VMWare虛擬機,共享主機連接,以獨立的公網IP 地址上網;操作系統爲Windows XP Pro SP2,默認安裝,僅以直接複製的方式拷貝了測試所必須的文件管 理程序Total Commander、註冊表跟蹤工具Advanced Registry Tracer、抓圖工具UltraSnap、打字必須的極點五筆輸入法,未安裝其他任何軟件。另外,部分圖片爲節省篇幅採用了以重疊的方式顯示多幅圖片內容。
一、3721安裝剖析
1、安裝推廣由“反覆提示”式爲主爲轉向捆綁爲主
自從Windows XP SP2推出加強的安全特性後,以前頻繁出現的3721安裝提示被進行了有效抑制(圖1),因此其推廣安裝方式除傳統的通過瀏覽器植入安裝、直接下載安裝外,又開拓了在某些共享軟件和免費軟件中捆綁的方式進行安裝(圖2)。新的捆綁安裝方式,雖然有安裝選項,但對於習慣了“一路回車法”安裝軟件的用戶,被順手裝入系統的可能性極大!
圖 1 Windows XP SP2的安全機制給3721的安裝帶來不便
圖 2 通過免費或共享軟件的捆綁並默認安裝
2、“一拖三”的安裝方式,偷偷植入另外模塊
如果被安裝上上網助手,則實際上同時被植入系統的並非上網助手一個程序,而是同時另外被靜默地植入了“地址欄搜索”和“搜索助手”這兩套獨立的程序(圖3)。
卸載上網助手時,額外植入的兩套程序不會被卸載;卸載每一套程序時,卸載對話框中都添加保留另外模塊的選項,以實現非刻意卸載情況下的自我交叉修復。
圖 3
3、完善的自我保護機制
從安裝、保護、卸載、修復幾個環節來看,各個環節環環相扣(圖4),任何一環沒有正確處理,則就無法實現表面的乾淨卸載(真正徹底卸載除非手工清理,否則無法實現完全卸載,,後文詳述)。
圖 4 各個環節的保護機制環環相扣,清除不易
二、3721及上網助手提供的“貼心”服務提供剖析
號稱提供各種貼心服務,其服務項目所標示的功能也非常的人。我們對其中幾項進行了簡單測試,看看3721到底提供的是一些什麼性質、什麼質量的“服務”。
1、黃毒橫行觸目驚心
安裝3721中上網助手後,瀏覽器瀏覽器地址欄被無告知地植入20多項URL列表,其內容不外乎:性、娛樂、賺錢等幾方面有關(圖5)。
從其強行植入的地址欄URL列表來看,安裝了3721或上網助手的電腦就不折不扣地成了一臺“少兒不宜”的電腦電腦!
看看其強行植入的“美女如雲——15億圖片心情體驗”鏈接,隨意點擊幾個鏈接,結果如圖6,什麼“裸體”、“自拍”、“三級明星電影”、“誘惑放蕩的少婦”、“賓館偷房”、“無限激情”……等不堪入目的字眼撲面而來!
如果說具體的內容提供與其他合作方有關係,那麼看看3721推薦的“美女如雲——15億圖片心情體驗”的主頁面,什麼“波霸”、“A片”的類別項目赫然在目(圖7)。
再看看3721推薦提供的“極速寬頻影院”(圖8)。“性的日記”、“姐妹情色”、“村妓”、“偷情家族”等佔據了內容目錄的絕大部分,您能夠從中找到哪怕一丁點健康、積極、向上的內容嗎?!
這就是3721和上網助手提供的服務中的內容品味的冰山一角。
圖 5 自動植入的瀏覽器瀏覽器地址欄URL列表
圖 6 自動植入瀏覽器地址歷史中的鏈接內容之一
圖 7 自動植入瀏覽器地址欄歷史鏈接的部分內容之二
圖 8 自動植入瀏覽器地址欄歷史鏈接的部分內容之三
2、“網絡釣魚”爐火純青
除了上述明目張膽的色情(公開傳播的內容中那些不是色情還有是色情?)宣傳推廣,其還採用了一種誘惑點擊的網絡釣魚方法:以“免費電影”爲幌子,播放器上覆蓋廣告,用戶點擊播放器時將觸發對廣告的點擊(圖9)。
此種誘惑點擊的手段僅僅是一種方式。有了這種“先進的”方式,還有什麼事情不能做呢?
圖 9 自動植入瀏覽器地址欄歷史鏈接中打開的免費電影(網絡釣魚:以一Flash廣告與播放按鈕重疊的方式,誘惑用戶點擊。這裏設置不顯示Flash以暴露其重疊的框架結構)
3、貼心功能不貼心
不少人看中了上網助手的彈出廣告過濾功能。讓我們看看真實情況!
用http://www.kephyr.com/popupkillertest>http://www.kephyr.com/popupkillertest>的專業測試頁面進行彈出窗口過濾測試。爲避免干擾干擾,先關閉Windows XP SP2本身的彈出窗口過濾功能(沒有人會說上網助手的彈出窗口過濾是依賴Windows XP 的SP2相關功能實現的吧?!)。
測試結果,27項測試中,未能通過的有:第3 項、第6項(1、2)、第8項、第9項、第10項、第11項、第12項、第16項、第17項、第20項、第21項、第22項、第24項、第26項、第27項(1、2、3),共計未通過測試的有15項(18種),過濾失敗的項目佔整體的55%,失敗的種類佔整體的66%(圖10)。即按百分制評判,上網助手的彈出窗口過濾能力連及格分都沒有撈到!
而啓用Windows XP SP2的彈出窗口過濾功能,或者使用Maxthon等具有彈出窗口過濾功能的第三方瀏覽器,同樣的項目測試結果就截然不同!具體情況筆者暫不提供,大家可以自己測試對比一下,以便好好體會這位上網“助手”的能力!
圖 10 彈出窗口過濾測試中慘不忍睹的過濾結果
4、“清理痕跡”清理了誰的痕跡?
圖11是上網助手的“清理痕跡”功能測試。執行清理並得到“當前沒有網址記錄!”的結果,但打開瀏覽器的歷史側邊欄,結果如何?
圖 11 “痕跡清理”清理了誰的痕跡?
5、插件管理專家別有私心
打開上網助手的插件管理專家,其中僅僅“虛心”地把搜索助手列了出來;但打開瀏覽器的加載項對話框,3721和上網助手植入的十幾個加載項卻赫然在目(圖12)!別家的插件算插件,自己偷偷植入的衆多玩藝一律不算插件,這是什麼邏輯?!
圖 12 “插件管理專家”對自己植入的垃圾插件視而不見
6、把自己的“搜一搜”右鍵菜單視爲系統默認菜單
再看看“恢復IE外觀”中的“清理IE右鍵菜單”功能。清理後,報告“沒有可清理的菜單!”
但實際上,在瀏覽器中右擊鼠標,“!搜一搜”的3721附加的菜單項已經如同系統默認菜單項那樣被保存下來(圖13)。令人不解的是,“!搜一搜”這種表達方式不知在中國語言學中算是一種什麼手法?
圖 13 3721自動添加的右鍵菜單不算清理對象
7、自欺欺人的“清理IE工具條”
試試“清理IE工具條”的效果如何。清理後,報告“沒有可清理的工具條!”,但IE工具欄上被3721自動植入的那個帶有掃把圖標的工具條和其他幾個按鈕好好的毫髮無損(圖14)。難道它自己的這些就不屬於系統之外的第三方工具條嗎?工具欄按鈕清理也是如此。
圖 14 清理IE工具條結果
8、IE 工具欄“重置”功能不能重置3721植入的工具欄按鈕
既然上網助手拒絕給我幹活,那麼就用IE本身的功能設置來恢復工具欄按鈕吧。
打開自定義工具欄對話框,點擊“重置”,那些被強行植入的按鈕閃動了一下,片刻又立即得到恢復(圖15)。
系統的基本功能在3721的作用下已經部分失效!
圖 15 “重置”工具欄按鈕後的效果
9、對系統穩定性的影響
在虛擬機環境下,直接在瀏覽器地址欄輸入“合工大”進行搜索,前後測試6次,每次都是立即藍屏(圖16)。
雖然虛擬機環境與真實環境可能有一些差異,但虛擬機對內存要求較高,系統資源佔用較大,據此我們不能確定在真實系統環境也是如此,但起碼可以確定,搜索助手對系統資源的分配肯定存在某種負面影響(或者是存在某種BUG),在對資源需求較大時,會對系統產生不利影響。
圖 16 半個工作日的搜索測試中系統藍屏6次
三、3721對系統的寫入情況剖析
根據網絡實名網站自稱的“詳細技術原理”,我們看看真實情況是否如網站上所告知的那樣。圖17是其對用戶告知的內容。在隨後的檢測項目中,我們看看它“詳細”到什麼程度,用戶和知情權體現在什麼地方。
圖 17 網絡實名的“詳細技術原理”
1、向系統植入的文件
除了有專門的程序文件夾,3721還在WindowsDownloaded Program Files目錄以隱藏的方式保存其文件以便快速修復;在系統驅動程序目錄植入驅動程序文件並保證安全模式(即使你不上網!)也能夠被加載並且不能被直接刪除(圖18、圖19)。
①安裝3721後的文件植入情況:
● WindowsDownloaded Program Files目錄被植入37個文件1個文件夾;
● WindowsSystem32Drivers目錄植入CnMinPK.sys驅動程序文件。
● Program Files目錄植入目錄名爲3721,共含15個文件和1個文件夾。
共計植入53個文件和2個子文件夾。
②安裝上網助手後的文件植入情況:
● WindowsDownloaded Program Files目錄被植入30個文件1個文件夾;
● WindowsSystem32Drivers目錄植入CnMinPK.sys驅動程序文件。
● Program Files目錄植入目錄名爲3721,共含79個文件和7個文件夾。
● Program Files目錄植入目錄名爲YDT,共含4個文件和1個文件夾。
共計植入114個文件和9個子文件夾。
圖 18 以驅動方式植入系統,安全模式也能生效
圖 19 Windows資源管理器中無法查看的隱藏文件和目錄
2、寫入的註冊表項目
據安裝前後的註冊表導出比較後得出的不完全統計,系統註冊表被寫入的內容大致如下(因瀏覽網頁等操作會導致動態修改,因此可能會有一些誤差):
安裝3721後,註冊表中被寫入122個鍵項、408個鍵值;
安裝上網助手後,註冊表中被寫入251個鍵項、656個鍵值。
遺憾的是,按正確的方法卸載、重啓後註冊表項目仍然無法全部被清除!
3、多種途徑實現的自動加載項
3721聲明以標準系統接口實現自動加載,而且將這些標準接口利用得淋漓盡致!
⑴上網助手在註冊表HLM下面的Run鍵項中添加helper.dll、YDTMain.exe、CnsMin三個自動加載模塊,而且卸載、重啓後仍然存在(圖20);
⑵通過驅動程序模式加載CnMinPK.sys模塊,實現進程隱藏,並且通過系統本身的Msconfig無法檢測;
⑶通過其多個模塊之間的相互修復和守護實現,實現交叉安裝、修復、加載;
⑷通過嵌入瀏覽器幫助對象,實現功能的自動加載;
⑸通過各模塊卸載對話框中的修復選項,誘導用戶在卸載某個模塊的同時,修復和自動加載另一些模塊;
⑹通過捆綁到某些第三方安裝程序,在安裝過程中實現自動安裝和自動加載。
圖 20 卸載後仍然自動重啓的模塊
4、自我守護的進程
如圖21,安裝上網助手後,任務列表中會存在三個進程,其中以Rundll32.exe顯示的兩個進程可以實現自動交叉修復,即一個進程是另外一個進程的守護進程。因此,使用Windows任務管理器是無法順利將它們從內存中關閉的,這點相信多數人深有體會!
圖 21 創建多個進程並且可自我守護
5、植入系統的瀏覽器加載項
圖22是上網助手自動植入系統中的8種瀏覽器加載項。用戶的瀏覽器成爲幾大公司發財的財源基地。餘下的就差沒有拿着刀子上門直接搶錢了。
圖 22 一口氣自動植入8種瀏覽器加載項
6、自動植入瀏覽器工具欄的多種無關按鈕
呵呵,安裝後,瀏覽器上什麼Yahoo!等亂七八糟的按鈕一股腦兒給你安裝上了,甚至連資源管理器也沒有放過(圖23,夠貼心的吧)。
圖 23 資源管理器中被強行植入的按鈕
7、控制面板添加刪除程序列表中的多餘項目
在未被明確告知的情況下,安裝上網助手後,控制面板的添加刪除程序列表中會額外加入兩個程序項目(圖24)。
圖 24 不知道什麼時候被植入的額外兩個模塊
8、植入系統的系統服務表
使用IceSword這款安全工具檢測系統服務描述表(SSDT),可以發現除Ntoskrnl.exe這個系統內核外,就是3721和上網助手的“CnsMinKP.sys”了。搞編程的人知道這做到了什麼級別,普通網民反正“眼不見爲淨”。可見功夫真的下到了家了!
圖 25 通過任務管理器無法查看到的系統服務表
9、自動創建的線程情況
從圖26可以看出,上網助手及其模塊自動創建的線程數之多,在系統總體線程數的比例上是多得令人吃驚的!該圖爲未打開任何瀏覽器以及其他相關窗口情況下的線程創建情況(部分需滾動才能查看)。
圖 26 自動創建的線程列表
10、後臺運行的消息鉤子
有興趣的人可以看看圖27中的鉤子類型,看看3721利用的大量鉤子函數在幹些什麼。
圖 27 衆多的消息鉤子
11、植入瀏覽器右鍵菜單的“!搜一搜”菜單項
呵呵,瀏覽器右鍵菜單中被植入的“!搜一搜”是不是該倒過來從右向左讀?這個世界的法則是不是也要倒過來解讀(圖28)?
圖 28 瀏覽器右鍵菜單項
12、上網助手Assistse.exe打開本地1028端口
如圖29,上網助手Assistse.exe打開本地UDP 1028端口,作用不明。
圖 29 端口打開情況
13、植入Internet選項設置
圖31是植入到Internet選項的“高級”設置的內容。看看,還有“自動升級”功能呢,有什麼新的手段或主意了,再在您的系統中試試?
圖 31 Internet選項中被植入的內容
四、3721及上網助手卸載情況剖析
有人在網卡撰文說3721現在可以通過其卸載程序乾淨地卸載了。事實情況真的是這樣嗎?請看——
1、“完全刪除”和“完全卸載”的卸載承諾
如圖32,無論3721網絡實名還是上網助手,在卸載程序中都承諾“把上網助手從電腦中完全刪除”和“完全卸載實名插件並關閉實名功能”。
圖 32 卸載界面的承諾
2、完全卸載不完全
網絡實名卸載成功並重啓後,在資源管理器中無法看到WindowsDownloaded Program Files文件夾中有任何文件(即使你將資源管理器設置爲顯示所有文件、顯示系統文件)。但使用著名的Total Commander文件管理器,卻發現有一個zsmod.dll的隱藏文件(圖33)!如果是卸載上網助手,卸載成功並重啓後,上述目錄居然隱藏有30個文件1個文件夾(圖34)!
以zsmod.dll爲關鍵字在註冊表編輯器中搜索,可以發現這個文件並非是一個被“遺忘”的死文件,而是有相應的註冊表鍵值(圖35)!
卸載上網助手成功並重啓後,檢測BHO(瀏覽器幫助對象),發現系統中仍然保留有YDT.DLL和CnsHook.dll這兩個BHO對象(圖36)!
卸載上網助手成功並重啓後,檢測自動加載項目,發現仍然存在helper.dll、YDTMain.exe、CnsMin三個自動加載的程序項目(圖37)!
再檢測系統已經加載的內核模塊,發現以驅動形式加載的CnsMinKP.sys仍然被成功加載(圖38)!以CnsMinKP.sys在註冊表編輯器中搜索,卸載成功並重啓後註冊表中仍然保留CnsMinKP.sys的3處隱藏服務鍵值(圖39),使得卸載操作完全是一個騙局,其基本功能根本沒有受到影響,至多是那個一般情況下顯示在系統托盤的可以向用戶提供“服務”的小圖標不見了!當然,系統Drivers目錄中的CnsMinKP.sys文件依然完好,沒有受到任何破壞!
看看系統進程如何。如圖40,YDTMain.exe、相互守護的Rundll32.exe共3個進程仍然靜靜地在那兒!
由此可見,上述就是所謂的“把上網助手從電腦中完全刪除”的真相!
真的想把它們徹底清除嗎?可以,手工在添加刪除程序列表中把另外未被告知的兩個3721強行安裝的程序一一卸載(卸載時注意看清楚相關選項!否則可能又相互修復),此時絕大多數文件和註冊表被清除。但WindowsDownloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關的註冊表鍵值卻永遠不會被清除!
圖 33 3721卸載重啓後資源管理器無法看到的隱藏文件
圖 34 上網助手卸載重啓後系統目錄中隱藏的大量文件(Windows資源管理器無法以任何方式查看到,Total Commander可顯示)
圖 35 卸載重啓後註冊表中的保留鍵值
圖 36 卸載重啓後仍然被保留的瀏覽器幫助對象模塊
圖 37 卸載重啓後仍然被保留的自動加載項目
圖 38 卸載重啓後仍然以驅動模式加載的內核模塊
圖 39 卸載重啓後註冊表中仍然保留的3處隱藏服務鍵值
圖 40 上網助手卸載重啓後仍然在運行的後臺進程和仍然存在的瀏覽器工具欄按鈕
3、額外安裝的兩個模塊必須另行卸載
圖43就是安裝時未被明確告知就強行安裝的、需要我們手工卸載的垃圾程序。
圖 43 額外安裝的兩個模塊必須手工卸載
4、卸載過程中仍然試圖交叉修復
卸載這些額外程序模塊的過程中,存在默認被選中的以“卸載”二字開頭的一個選項:
“卸載上網助手-地址欄搜索後保留上網助手等按鈕”
如果你操作中只看了前面半句,以爲是選擇了“卸載”它們,那你就錯了!
由此可見3721的對用戶的心理和電腦使用習慣研究得非常透徹,能夠利用的都充分利用了!
圖 44 卸載過程中仍然試圖交叉修復
五、3721綜合行爲的法律、道德剖析
1、3721及上網助手的道德層面剖析
什麼“裸體”、“自拍”、“三級明星電影”、“誘惑放蕩的少婦”、“賓館偷房”、“無限激情”……等褻瀆了廣大網民的情趣品味;對青少年進行了極其不良的誤導引誘;污染了網絡環境。
未經明確告知,強行植入其他程序模塊。
通過系統驅動的方式加載,安全模式亦無法避免。就連Windows都將帶網絡連接的安全模式作爲一個單獨的項目提供給用戶,而3721則是青紅皁白,不管用戶是否使用網絡,一律加載沒商量!
2、3721及上網助手的法律層面剖析
額外安裝程序侵犯知情權;
強行植入的少兒不宜的URL鏈接無視青少年權限保護;
宣傳黃毒;
介紹黃毒;
卸載卸載過程中以欺騙的手段保留未經用戶許可的模塊,而且相互交叉修復;
自動感染、自動繁植、隱藏自身、佔用系統資源、干擾用戶上網活動、直接或間接向系統中帶入不良數據、清除極其困難、通過多種途徑自動加載……已經具有完整的病毒特徵;
提供不良內容下載……
3、3721及上網助手對國家安全及文化導向的影響
由艱苦奮鬥勤儉建國轉向靡靡之音聲色犬馬的和平演變,只需藉助3721;
瓦解民衆鬥志,只需3721;
佔領中國的宣傳陣地,只需利用3721;
主導中國的網絡安全命脈,只需掌握3721;
轉變中國網民的文化導向,只需藉助3721;
對中國發動網絡癱瘓戰,只需通過3721!
…………
所有這些,3721已經在做了,而且做得很好!
馭龍 發表於 2005-6-27 22
3721真的能夠卸載乾淨嗎?
3721真的僅僅是一箇中文上網這麼簡單嗎?
3721對網絡甚至對國家安全的危害僅僅是您目前所認識到的嗎?
3721自稱的“詳細技術情況”真的給您知情權了嗎?
3721上網助手真的是您的什麼“助手”嗎?
全面揭露 觸目驚心!
3721作爲一種可自動安裝的、普及率極廣的一種網絡程序,近年來對之的爭議頗多。本文試圖從安裝、卸載工、服務、系統影響等各個方面列舉系列客觀事實,有關觀點僅代表筆者個人意見,拿出來與大方之家商榷,相信大家見仁見智各有自己的結論,同時也希望以此引起有關部門的注意。
測試環境:VMWare虛擬機,共享主機連接,以獨立的公網IP 地址上網;操作系統爲Windows XP Pro SP2,默認安裝,僅以直接複製的方式拷貝了測試所必須的文件管 理程序Total Commander、註冊表跟蹤工具Advanced Registry Tracer、抓圖工具UltraSnap、打字必須的極點五筆輸入法,未安裝其他任何軟件。另外,部分圖片爲節省篇幅採用了以重疊的方式顯示多幅圖片內容。
一、3721安裝剖析
1、安裝推廣由“反覆提示”式爲主爲轉向捆綁爲主
自從Windows XP SP2推出加強的安全特性後,以前頻繁出現的3721安裝提示被進行了有效抑制(圖1),因此其推廣安裝方式除傳統的通過瀏覽器植入安裝、直接下載安裝外,又開拓了在某些共享軟件和免費軟件中捆綁的方式進行安裝(圖2)。新的捆綁安裝方式,雖然有安裝選項,但對於習慣了“一路回車法”安裝軟件的用戶,被順手裝入系統的可能性極大!
圖 1 Windows XP SP2的安全機制給3721的安裝帶來不便
圖 2 通過免費或共享軟件的捆綁並默認安裝
2、“一拖三”的安裝方式,偷偷植入另外模塊
如果被安裝上上網助手,則實際上同時被植入系統的並非上網助手一個程序,而是同時另外被靜默地植入了“地址欄搜索”和“搜索助手”這兩套獨立的程序(圖3)。
卸載上網助手時,額外植入的兩套程序不會被卸載;卸載每一套程序時,卸載對話框中都添加保留另外模塊的選項,以實現非刻意卸載情況下的自我交叉修復。
圖 3
3、完善的自我保護機制
從安裝、保護、卸載、修復幾個環節來看,各個環節環環相扣(圖4),任何一環沒有正確處理,則就無法實現表面的乾淨卸載(真正徹底卸載除非手工清理,否則無法實現完全卸載,,後文詳述)。
圖 4 各個環節的保護機制環環相扣,清除不易
二、3721及上網助手提供的“貼心”服務提供剖析
號稱提供各種貼心服務,其服務項目所標示的功能也非常的人。我們對其中幾項進行了簡單測試,看看3721到底提供的是一些什麼性質、什麼質量的“服務”。
1、黃毒橫行觸目驚心
安裝3721中上網助手後,瀏覽器瀏覽器地址欄被無告知地植入20多項URL列表,其內容不外乎:性、娛樂、賺錢等幾方面有關(圖5)。
從其強行植入的地址欄URL列表來看,安裝了3721或上網助手的電腦就不折不扣地成了一臺“少兒不宜”的電腦電腦!
看看其強行植入的“美女如雲——15億圖片心情體驗”鏈接,隨意點擊幾個鏈接,結果如圖6,什麼“裸體”、“自拍”、“三級明星電影”、“誘惑放蕩的少婦”、“賓館偷房”、“無限激情”……等不堪入目的字眼撲面而來!
如果說具體的內容提供與其他合作方有關係,那麼看看3721推薦的“美女如雲——15億圖片心情體驗”的主頁面,什麼“波霸”、“A片”的類別項目赫然在目(圖7)。
再看看3721推薦提供的“極速寬頻影院”(圖8)。“性的日記”、“姐妹情色”、“村妓”、“偷情家族”等佔據了內容目錄的絕大部分,您能夠從中找到哪怕一丁點健康、積極、向上的內容嗎?!
這就是3721和上網助手提供的服務中的內容品味的冰山一角。
圖 5 自動植入的瀏覽器瀏覽器地址欄URL列表
圖 6 自動植入瀏覽器地址歷史中的鏈接內容之一
圖 7 自動植入瀏覽器地址欄歷史鏈接的部分內容之二
圖 8 自動植入瀏覽器地址欄歷史鏈接的部分內容之三
2、“網絡釣魚”爐火純青
除了上述明目張膽的色情(公開傳播的內容中那些不是色情還有是色情?)宣傳推廣,其還採用了一種誘惑點擊的網絡釣魚方法:以“免費電影”爲幌子,播放器上覆蓋廣告,用戶點擊播放器時將觸發對廣告的點擊(圖9)。
此種誘惑點擊的手段僅僅是一種方式。有了這種“先進的”方式,還有什麼事情不能做呢?
圖 9 自動植入瀏覽器地址欄歷史鏈接中打開的免費電影(網絡釣魚:以一Flash廣告與播放按鈕重疊的方式,誘惑用戶點擊。這裏設置不顯示Flash以暴露其重疊的框架結構)
3、貼心功能不貼心
不少人看中了上網助手的彈出廣告過濾功能。讓我們看看真實情況!
用http://www.kephyr.com/popupkillertest>http://www.kephyr.com/popupkillertest>的專業測試頁面進行彈出窗口過濾測試。爲避免干擾干擾,先關閉Windows XP SP2本身的彈出窗口過濾功能(沒有人會說上網助手的彈出窗口過濾是依賴Windows XP 的SP2相關功能實現的吧?!)。
測試結果,27項測試中,未能通過的有:第3 項、第6項(1、2)、第8項、第9項、第10項、第11項、第12項、第16項、第17項、第20項、第21項、第22項、第24項、第26項、第27項(1、2、3),共計未通過測試的有15項(18種),過濾失敗的項目佔整體的55%,失敗的種類佔整體的66%(圖10)。即按百分制評判,上網助手的彈出窗口過濾能力連及格分都沒有撈到!
而啓用Windows XP SP2的彈出窗口過濾功能,或者使用Maxthon等具有彈出窗口過濾功能的第三方瀏覽器,同樣的項目測試結果就截然不同!具體情況筆者暫不提供,大家可以自己測試對比一下,以便好好體會這位上網“助手”的能力!
圖 10 彈出窗口過濾測試中慘不忍睹的過濾結果
4、“清理痕跡”清理了誰的痕跡?
圖11是上網助手的“清理痕跡”功能測試。執行清理並得到“當前沒有網址記錄!”的結果,但打開瀏覽器的歷史側邊欄,結果如何?
圖 11 “痕跡清理”清理了誰的痕跡?
5、插件管理專家別有私心
打開上網助手的插件管理專家,其中僅僅“虛心”地把搜索助手列了出來;但打開瀏覽器的加載項對話框,3721和上網助手植入的十幾個加載項卻赫然在目(圖12)!別家的插件算插件,自己偷偷植入的衆多玩藝一律不算插件,這是什麼邏輯?!
圖 12 “插件管理專家”對自己植入的垃圾插件視而不見
6、把自己的“搜一搜”右鍵菜單視爲系統默認菜單
再看看“恢復IE外觀”中的“清理IE右鍵菜單”功能。清理後,報告“沒有可清理的菜單!”
但實際上,在瀏覽器中右擊鼠標,“!搜一搜”的3721附加的菜單項已經如同系統默認菜單項那樣被保存下來(圖13)。令人不解的是,“!搜一搜”這種表達方式不知在中國語言學中算是一種什麼手法?
圖 13 3721自動添加的右鍵菜單不算清理對象
7、自欺欺人的“清理IE工具條”
試試“清理IE工具條”的效果如何。清理後,報告“沒有可清理的工具條!”,但IE工具欄上被3721自動植入的那個帶有掃把圖標的工具條和其他幾個按鈕好好的毫髮無損(圖14)。難道它自己的這些就不屬於系統之外的第三方工具條嗎?工具欄按鈕清理也是如此。
圖 14 清理IE工具條結果
8、IE 工具欄“重置”功能不能重置3721植入的工具欄按鈕
既然上網助手拒絕給我幹活,那麼就用IE本身的功能設置來恢復工具欄按鈕吧。
打開自定義工具欄對話框,點擊“重置”,那些被強行植入的按鈕閃動了一下,片刻又立即得到恢復(圖15)。
系統的基本功能在3721的作用下已經部分失效!
圖 15 “重置”工具欄按鈕後的效果
9、對系統穩定性的影響
在虛擬機環境下,直接在瀏覽器地址欄輸入“合工大”進行搜索,前後測試6次,每次都是立即藍屏(圖16)。
雖然虛擬機環境與真實環境可能有一些差異,但虛擬機對內存要求較高,系統資源佔用較大,據此我們不能確定在真實系統環境也是如此,但起碼可以確定,搜索助手對系統資源的分配肯定存在某種負面影響(或者是存在某種BUG),在對資源需求較大時,會對系統產生不利影響。
圖 16 半個工作日的搜索測試中系統藍屏6次
三、3721對系統的寫入情況剖析
根據網絡實名網站自稱的“詳細技術原理”,我們看看真實情況是否如網站上所告知的那樣。圖17是其對用戶告知的內容。在隨後的檢測項目中,我們看看它“詳細”到什麼程度,用戶和知情權體現在什麼地方。
圖 17 網絡實名的“詳細技術原理”
1、向系統植入的文件
除了有專門的程序文件夾,3721還在WindowsDownloaded Program Files目錄以隱藏的方式保存其文件以便快速修復;在系統驅動程序目錄植入驅動程序文件並保證安全模式(即使你不上網!)也能夠被加載並且不能被直接刪除(圖18、圖19)。
①安裝3721後的文件植入情況:
● WindowsDownloaded Program Files目錄被植入37個文件1個文件夾;
● WindowsSystem32Drivers目錄植入CnMinPK.sys驅動程序文件。
● Program Files目錄植入目錄名爲3721,共含15個文件和1個文件夾。
共計植入53個文件和2個子文件夾。
②安裝上網助手後的文件植入情況:
● WindowsDownloaded Program Files目錄被植入30個文件1個文件夾;
● WindowsSystem32Drivers目錄植入CnMinPK.sys驅動程序文件。
● Program Files目錄植入目錄名爲3721,共含79個文件和7個文件夾。
● Program Files目錄植入目錄名爲YDT,共含4個文件和1個文件夾。
共計植入114個文件和9個子文件夾。
圖 18 以驅動方式植入系統,安全模式也能生效
圖 19 Windows資源管理器中無法查看的隱藏文件和目錄
2、寫入的註冊表項目
據安裝前後的註冊表導出比較後得出的不完全統計,系統註冊表被寫入的內容大致如下(因瀏覽網頁等操作會導致動態修改,因此可能會有一些誤差):
安裝3721後,註冊表中被寫入122個鍵項、408個鍵值;
安裝上網助手後,註冊表中被寫入251個鍵項、656個鍵值。
遺憾的是,按正確的方法卸載、重啓後註冊表項目仍然無法全部被清除!
3、多種途徑實現的自動加載項
3721聲明以標準系統接口實現自動加載,而且將這些標準接口利用得淋漓盡致!
⑴上網助手在註冊表HLM下面的Run鍵項中添加helper.dll、YDTMain.exe、CnsMin三個自動加載模塊,而且卸載、重啓後仍然存在(圖20);
⑵通過驅動程序模式加載CnMinPK.sys模塊,實現進程隱藏,並且通過系統本身的Msconfig無法檢測;
⑶通過其多個模塊之間的相互修復和守護實現,實現交叉安裝、修復、加載;
⑷通過嵌入瀏覽器幫助對象,實現功能的自動加載;
⑸通過各模塊卸載對話框中的修復選項,誘導用戶在卸載某個模塊的同時,修復和自動加載另一些模塊;
⑹通過捆綁到某些第三方安裝程序,在安裝過程中實現自動安裝和自動加載。
圖 20 卸載後仍然自動重啓的模塊
4、自我守護的進程
如圖21,安裝上網助手後,任務列表中會存在三個進程,其中以Rundll32.exe顯示的兩個進程可以實現自動交叉修復,即一個進程是另外一個進程的守護進程。因此,使用Windows任務管理器是無法順利將它們從內存中關閉的,這點相信多數人深有體會!
圖 21 創建多個進程並且可自我守護
5、植入系統的瀏覽器加載項
圖22是上網助手自動植入系統中的8種瀏覽器加載項。用戶的瀏覽器成爲幾大公司發財的財源基地。餘下的就差沒有拿着刀子上門直接搶錢了。
圖 22 一口氣自動植入8種瀏覽器加載項
6、自動植入瀏覽器工具欄的多種無關按鈕
呵呵,安裝後,瀏覽器上什麼Yahoo!等亂七八糟的按鈕一股腦兒給你安裝上了,甚至連資源管理器也沒有放過(圖23,夠貼心的吧)。
圖 23 資源管理器中被強行植入的按鈕
7、控制面板添加刪除程序列表中的多餘項目
在未被明確告知的情況下,安裝上網助手後,控制面板的添加刪除程序列表中會額外加入兩個程序項目(圖24)。
圖 24 不知道什麼時候被植入的額外兩個模塊
8、植入系統的系統服務表
使用IceSword這款安全工具檢測系統服務描述表(SSDT),可以發現除Ntoskrnl.exe這個系統內核外,就是3721和上網助手的“CnsMinKP.sys”了。搞編程的人知道這做到了什麼級別,普通網民反正“眼不見爲淨”。可見功夫真的下到了家了!
圖 25 通過任務管理器無法查看到的系統服務表
9、自動創建的線程情況
從圖26可以看出,上網助手及其模塊自動創建的線程數之多,在系統總體線程數的比例上是多得令人吃驚的!該圖爲未打開任何瀏覽器以及其他相關窗口情況下的線程創建情況(部分需滾動才能查看)。
圖 26 自動創建的線程列表
10、後臺運行的消息鉤子
有興趣的人可以看看圖27中的鉤子類型,看看3721利用的大量鉤子函數在幹些什麼。
圖 27 衆多的消息鉤子
11、植入瀏覽器右鍵菜單的“!搜一搜”菜單項
呵呵,瀏覽器右鍵菜單中被植入的“!搜一搜”是不是該倒過來從右向左讀?這個世界的法則是不是也要倒過來解讀(圖28)?
圖 28 瀏覽器右鍵菜單項
12、上網助手Assistse.exe打開本地1028端口
如圖29,上網助手Assistse.exe打開本地UDP 1028端口,作用不明。
圖 29 端口打開情況
13、植入Internet選項設置
圖31是植入到Internet選項的“高級”設置的內容。看看,還有“自動升級”功能呢,有什麼新的手段或主意了,再在您的系統中試試?
圖 31 Internet選項中被植入的內容
四、3721及上網助手卸載情況剖析
有人在網卡撰文說3721現在可以通過其卸載程序乾淨地卸載了。事實情況真的是這樣嗎?請看——
1、“完全刪除”和“完全卸載”的卸載承諾
如圖32,無論3721網絡實名還是上網助手,在卸載程序中都承諾“把上網助手從電腦中完全刪除”和“完全卸載實名插件並關閉實名功能”。
圖 32 卸載界面的承諾
2、完全卸載不完全
網絡實名卸載成功並重啓後,在資源管理器中無法看到WindowsDownloaded Program Files文件夾中有任何文件(即使你將資源管理器設置爲顯示所有文件、顯示系統文件)。但使用著名的Total Commander文件管理器,卻發現有一個zsmod.dll的隱藏文件(圖33)!如果是卸載上網助手,卸載成功並重啓後,上述目錄居然隱藏有30個文件1個文件夾(圖34)!
以zsmod.dll爲關鍵字在註冊表編輯器中搜索,可以發現這個文件並非是一個被“遺忘”的死文件,而是有相應的註冊表鍵值(圖35)!
卸載上網助手成功並重啓後,檢測BHO(瀏覽器幫助對象),發現系統中仍然保留有YDT.DLL和CnsHook.dll這兩個BHO對象(圖36)!
卸載上網助手成功並重啓後,檢測自動加載項目,發現仍然存在helper.dll、YDTMain.exe、CnsMin三個自動加載的程序項目(圖37)!
再檢測系統已經加載的內核模塊,發現以驅動形式加載的CnsMinKP.sys仍然被成功加載(圖38)!以CnsMinKP.sys在註冊表編輯器中搜索,卸載成功並重啓後註冊表中仍然保留CnsMinKP.sys的3處隱藏服務鍵值(圖39),使得卸載操作完全是一個騙局,其基本功能根本沒有受到影響,至多是那個一般情況下顯示在系統托盤的可以向用戶提供“服務”的小圖標不見了!當然,系統Drivers目錄中的CnsMinKP.sys文件依然完好,沒有受到任何破壞!
看看系統進程如何。如圖40,YDTMain.exe、相互守護的Rundll32.exe共3個進程仍然靜靜地在那兒!
由此可見,上述就是所謂的“把上網助手從電腦中完全刪除”的真相!
真的想把它們徹底清除嗎?可以,手工在添加刪除程序列表中把另外未被告知的兩個3721強行安裝的程序一一卸載(卸載時注意看清楚相關選項!否則可能又相互修復),此時絕大多數文件和註冊表被清除。但WindowsDownloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關的註冊表鍵值卻永遠不會被清除!
圖 33 3721卸載重啓後資源管理器無法看到的隱藏文件
圖 34 上網助手卸載重啓後系統目錄中隱藏的大量文件(Windows資源管理器無法以任何方式查看到,Total Commander可顯示)
圖 35 卸載重啓後註冊表中的保留鍵值
圖 36 卸載重啓後仍然被保留的瀏覽器幫助對象模塊
圖 37 卸載重啓後仍然被保留的自動加載項目
圖 38 卸載重啓後仍然以驅動模式加載的內核模塊
圖 39 卸載重啓後註冊表中仍然保留的3處隱藏服務鍵值
圖 40 上網助手卸載重啓後仍然在運行的後臺進程和仍然存在的瀏覽器工具欄按鈕
3、額外安裝的兩個模塊必須另行卸載
圖43就是安裝時未被明確告知就強行安裝的、需要我們手工卸載的垃圾程序。
圖 43 額外安裝的兩個模塊必須手工卸載
4、卸載過程中仍然試圖交叉修復
卸載這些額外程序模塊的過程中,存在默認被選中的以“卸載”二字開頭的一個選項:
“卸載上網助手-地址欄搜索後保留上網助手等按鈕”
如果你操作中只看了前面半句,以爲是選擇了“卸載”它們,那你就錯了!
由此可見3721的對用戶的心理和電腦使用習慣研究得非常透徹,能夠利用的都充分利用了!
圖 44 卸載過程中仍然試圖交叉修復
五、3721綜合行爲的法律、道德剖析
1、3721及上網助手的道德層面剖析
什麼“裸體”、“自拍”、“三級明星電影”、“誘惑放蕩的少婦”、“賓館偷房”、“無限激情”……等褻瀆了廣大網民的情趣品味;對青少年進行了極其不良的誤導引誘;污染了網絡環境。
未經明確告知,強行植入其他程序模塊。
通過系統驅動的方式加載,安全模式亦無法避免。就連Windows都將帶網絡連接的安全模式作爲一個單獨的項目提供給用戶,而3721則是青紅皁白,不管用戶是否使用網絡,一律加載沒商量!
2、3721及上網助手的法律層面剖析
額外安裝程序侵犯知情權;
強行植入的少兒不宜的URL鏈接無視青少年權限保護;
宣傳黃毒;
介紹黃毒;
卸載卸載過程中以欺騙的手段保留未經用戶許可的模塊,而且相互交叉修復;
自動感染、自動繁植、隱藏自身、佔用系統資源、干擾用戶上網活動、直接或間接向系統中帶入不良數據、清除極其困難、通過多種途徑自動加載……已經具有完整的病毒特徵;
提供不良內容下載……
3、3721及上網助手對國家安全及文化導向的影響
由艱苦奮鬥勤儉建國轉向靡靡之音聲色犬馬的和平演變,只需藉助3721;
瓦解民衆鬥志,只需3721;
佔領中國的宣傳陣地,只需利用3721;
主導中國的網絡安全命脈,只需掌握3721;
轉變中國網民的文化導向,只需藉助3721;
對中國發動網絡癱瘓戰,只需通過3721!
…………
所有這些,3721已經在做了,而且做得很好!
馭龍 發表於 2005-6-27 22
