在线播放网站亚洲播放_ Moby電腦學(xué)習園地- [04-27] 全面剖析3721及上網(wǎng)助手

[廣告]: 園地新人完全圖解教程(新手問(wèn)答，賬號充值，積分說(shuō)明)

[04-27] 全面剖析3721及上網(wǎng)助手

3721真的能夠卸載干凈嗎？
3721真的僅僅是一個(gè)中文上網(wǎng)這么簡(jiǎn)單嗎？
3721對網(wǎng)絡(luò )甚至對國家安全的危害僅僅是您目前所認識到的嗎？
3721自稱(chēng)的“詳細技術(shù)情況”真的給您知情權了嗎？
3721上網(wǎng)助手真的是您的什么“助手”嗎？
全面揭露觸目驚心！
3721作為一種可自動(dòng)安裝的、普及率極廣的一種網(wǎng)絡(luò )程序，近年來(lái)對之的爭議頗多。本文試圖從安裝、卸載工、服務(wù)、系統影響等各個(gè)方面列舉系列客觀(guān)事實(shí)，有關(guān)觀(guān)點(diǎn)僅代表筆者個(gè)人意見(jiàn)，拿出來(lái)與大方之家商榷，相信大家見(jiàn)仁見(jiàn)智各有自己的結論，同時(shí)也希望以此引起有關(guān)部門(mén)的注意。
測試環(huán)境：VMWare虛擬機，共享主機連接，以獨立的公網(wǎng)IP 地址上網(wǎng)；操作系統為Windows XP Pro SP2，默認安裝，僅以直接復制的方式拷貝了測試所必須的文件管理程序Total Commander、注冊表跟蹤工具Advanced Registry Tracer、抓圖工具UltraSnap、打字必須的極點(diǎn)五筆輸入法，未安裝其他任何軟件。另外，部分圖片為節省篇幅采用了以重疊的方式顯示多幅圖片內容。
一、3721安裝剖析
1、安裝推廣由“反復提示”式為主為轉向捆綁為主
自從Windows XP SP2推出加強的安全特性后，以前頻繁出現的3721安裝提示被進(jìn)行了有效抑制（圖1），因此其推廣安裝方式除傳統的通過(guò)瀏覽器植入安裝、直接下載安裝外，又開(kāi)拓了在某些共享軟件和免費軟件中捆綁的方式進(jìn)行安裝（圖2）。新的捆綁安裝方式，雖然有安裝選項，但對于習慣了“一路回車(chē)法”安裝軟件的用戶(hù)，被順手裝入系統的可能性極大！

圖 1 Windows XP SP2的安全機制給3721的安裝帶來(lái)不便

圖 2 通過(guò)免費或共享軟件的捆綁并默認安裝
2、“一拖三”的安裝方式，偷偷植入另外模塊
如果被安裝上上網(wǎng)助手，則實(shí)際上同時(shí)被植入系統的并非上網(wǎng)助手一個(gè)程序，而是同時(shí)另外被靜默地植入了“地址欄搜索”和“搜索助手”這兩套獨立的程序（圖3）。
卸載上網(wǎng)助手時(shí)，額外植入的兩套程序不會(huì )被卸載；卸載每一套程序時(shí)，卸載對話(huà)框中都添加保留另外模塊的選項，以實(shí)現非刻意卸載情況下的自我交叉修復。

圖 3
3、完善的自我保護機制
從安裝、保護、卸載、修復幾個(gè)環(huán)節來(lái)看，各個(gè)環(huán)節環(huán)環(huán)相扣（圖4），任何一環(huán)沒(méi)有正確處理，則就無(wú)法實(shí)現表面的干凈卸載（真正徹底卸載除非手工清理，否則無(wú)法實(shí)現完全卸載，，后文詳述）。

圖 4 各個(gè)環(huán)節的保護機制環(huán)環(huán)相扣，清除不易二、3721及上網(wǎng)助手提供的“貼心”服務(wù)提供剖析
號稱(chēng)提供各種貼心服務(wù)，其服務(wù)項目所標示的功能也非常的人。我們對其中幾項進(jìn)行了簡(jiǎn)單測試，看看3721到底提供的是一些什么性質(zhì)、什么質(zhì)量的“服務(wù)”。
1、黃毒橫行觸目驚心
安裝3721中上網(wǎng)助手后，瀏覽器瀏覽器地址欄被無(wú)告知地植入20多項URL列表，其內容不外乎：性、娛樂(lè )、賺錢(qián)等幾方面有關(guān)（圖5）。
從其強行植入的地址欄URL列表來(lái)看，安裝了3721或上網(wǎng)助手的電腦就不折不扣地成了一臺“少兒不宜”的電腦電腦！
看看其強行植入的“美女如云——15億圖片心情體驗”鏈接，等等占據了內容目錄的絕大部分，您能夠從中找到哪怕一丁點(diǎn)健康、積極、向上的內容嗎？這就是3721和上網(wǎng)助手提供的服務(wù)中的內容品味的冰山一角。

圖 5 自動(dòng)植入的瀏覽器瀏覽器地址欄URL列表
2、“網(wǎng)絡(luò )釣魚(yú)”爐火純青
除了上述明目張膽的色情（公開(kāi)傳播的內容中那些不是色情還有是色情？）宣傳推廣，其還采用了一種誘惑點(diǎn)擊的網(wǎng)絡(luò )釣魚(yú)方法：以“免費電影”為幌子，播放器上覆蓋廣告，用戶(hù)點(diǎn)擊播放器時(shí)將觸發(fā)對廣告的點(diǎn)擊（圖9）。
此種誘惑點(diǎn)擊的手段僅僅是一種方式。有了這種“先進(jìn)的”方式，還有什么事情不能做呢？

圖 9
自動(dòng)植入瀏覽器地址欄歷史鏈接中打開(kāi)的免費電影（網(wǎng)絡(luò )釣魚(yú)：以一Flash廣告與播放按鈕重疊的方式，誘惑用戶(hù)點(diǎn)擊。這里設置不顯示Flash以暴露其重疊的框架結構）
3、貼心功能不貼心
不少人看中了上網(wǎng)助手的彈出廣告過(guò)濾功能。讓我們看看真實(shí)情況！
用
[url=http://secu.hfut.edu.cn/admin/http://www.kephyr.com/popupkillertest" target=_blank>
http://www.kephyr.com/popupkillertest>
http://www.kephyr.com/popupkillertest

[/url]
>的專(zhuān)業(yè)測試頁(yè)面進(jìn)行彈出窗口過(guò)濾測試。為避免干擾干擾，先關(guān)閉Windows XP SP2本身的彈出窗口過(guò)濾功能（沒(méi)有人會(huì )說(shuō)上網(wǎng)助手的彈出窗口過(guò)濾是依賴(lài)Windows XP 的SP2相關(guān)功能實(shí)現的吧？?。?。
測試結果，27項測試中，未能通過(guò)的有：第3 項、第6項（1、2）、第8項、第9項、第10項、第11項、第12項、第16項、第17項、第20項、第21項、第22項、第24項、第26項、第27項（1、2、3），共計未通過(guò)測試的有15項（18種），過(guò)濾失敗的項目占整體的55%，失敗的種類(lèi)占整體的66%（圖10）。即按百分制評判，上網(wǎng)助手的彈出窗口過(guò)濾能力連及格分都沒(méi)有撈到！
而啟用Windows XP SP2的彈出窗口過(guò)濾功能，或者使用Maxthon等具有彈出窗口過(guò)濾功能的第三方瀏覽器，同樣的項目測試結果就截然不同！具體情況筆者暫不提供，大家可以自己測試對比一下，以便好好體會(huì )這位上網(wǎng)“助手”的能力！

圖 10 彈出窗口過(guò)濾測試中慘不忍睹的過(guò)濾結果
4、“清理痕跡”清理了誰(shuí)的痕跡？
圖11是上網(wǎng)助手的“清理痕跡”功能測試。執行清理并得到“當前沒(méi)有網(wǎng)址記錄！”的結果，但打開(kāi)瀏覽器的歷史側邊欄，結果如何？
圖 10 彈出窗口過(guò)濾測試中慘不忍睹的過(guò)濾結果

圖 11 “痕跡清理”清理了誰(shuí)的痕跡？5、插件管理專(zhuān)家別有私心
打開(kāi)上網(wǎng)助手的插件管理專(zhuān)家，其中僅僅“虛心”地把搜索助手列了出來(lái)；但打開(kāi)瀏覽器的加載項對話(huà)框，3721和上網(wǎng)助手植入的十幾個(gè)加載項卻赫然在目（圖12）！別家的插件算插件，自己偷偷植入的眾多玩藝一律不算插件，這是什么邏輯？！

圖 12 “插件管理專(zhuān)家”對自己植入的垃圾插件視而不見(jiàn)
6、把自己的“搜一搜”右鍵菜單視為系統默認菜單
再看看“恢復IE外觀(guān)”中的“清理IE右鍵菜單”功能。清理后，報告“沒(méi)有可清理的菜單！”
但實(shí)際上，在瀏覽器中右擊鼠標，“！搜一搜”的3721附加的菜單項已經(jīng)如同系統默認菜單項那樣被保存下來(lái)（圖13）。令人不解的是，“！搜一搜”這種表達方式不知在中國語(yǔ)言學(xué)中算是一種什么手法？

圖 13 3721自動(dòng)添加的右鍵菜單不算清理對象
7、自欺欺人的“清理IE工具條”
試試“清理IE工具條”的效果如何。清理后，報告“沒(méi)有可清理的工具條！”，但IE工具欄上被3721自動(dòng)植入的那個(gè)帶有掃把圖標的工具條和其他幾個(gè)按鈕好好的毫發(fā)無(wú)損（圖14）。難道它自己的這些就不屬于系統之外的第三方工具條嗎？工具欄按鈕清理也是如此。

圖 14 清理IE工具條結果
8、IE 工具欄“重置”功能不能重置3721植入的工具欄按鈕
既然上網(wǎng)助手拒絕給我干活，那么就用IE本身的功能設置來(lái)恢復工具欄按鈕吧。
打開(kāi)自定義工具欄對話(huà)框，點(diǎn)擊“重置”，那些被強行植入的按鈕閃動(dòng)了一下，片刻又立即得到恢復（圖15）。
系統的基本功能在3721的作用下已經(jīng)部分失效！

圖 15 “重置”工具欄按鈕后的效果
9、對系統穩定性的影響
在虛擬機環(huán)境下，直接在瀏覽器地址欄輸入“合工大”進(jìn)行搜索，前后測試6次，每次都是立即藍屏（圖16）。
雖然虛擬機環(huán)境與真實(shí)環(huán)境可能有一些差異，但虛擬機對內存要求較高，系統資源占用較大，據此我們不能確定在真實(shí)系統環(huán)境也是如此，但起碼可以確定，搜索助手對系統資源的分配肯定存在某種負面影響（或者是存在某種BUG），在對資源需求較大時(shí)，會(huì )對系統產(chǎn)生不利影響。

圖 16 半個(gè)工作日的搜索測試中系統藍屏6次三、3721對系統的寫(xiě)入情況剖析
根據網(wǎng)絡(luò )實(shí)名網(wǎng)站自稱(chēng)的“詳細技術(shù)原理”，我們看看真實(shí)情況是否如網(wǎng)站上所告知的那樣。圖17是其對用戶(hù)告知的內容。在隨后的檢測項目中，我們看看它“詳細”到什么程度，用戶(hù)和知情權體現在什么地方。

圖 17 網(wǎng)絡(luò )實(shí)名的“詳細技術(shù)原理”
1、向系統植入的文件
除了有專(zhuān)門(mén)的程序文件夾，3721還在WindowsDownloaded Program Files目錄以隱藏的方式保存其文件以便快速修復；在系統驅動(dòng)程序目錄植入驅動(dòng)程序文件并保證安全模式（即使你不上網(wǎng)?。┮材軌虮患虞d并且不能被直接刪除（圖18、圖19）。
①安裝3721后的文件植入情況：
● WindowsDownloaded Program Files目錄被植入37個(gè)文件1個(gè)文件夾；
● WindowsSystem32Drivers目錄植入CnMinPK.sys驅動(dòng)程序文件。
● Program Files目錄植入目錄名為3721，共含15個(gè)文件和1個(gè)文件夾。
共計植入53個(gè)文件和2個(gè)子文件夾。
②安裝上網(wǎng)助手后的文件植入情況：
● WindowsDownloaded Program Files目錄被植入30個(gè)文件1個(gè)文件夾；
● WindowsSystem32Drivers目錄植入CnMinPK.sys驅動(dòng)程序文件。
● Program Files目錄植入目錄名為3721，共含79個(gè)文件和7個(gè)文件夾。
● Program Files目錄植入目錄名為YDT，共含4個(gè)文件和1個(gè)文件夾。
共計植入114個(gè)文件和9個(gè)子文件夾。

圖 18 以驅動(dòng)方式植入系統，安全模式也能生效

圖 19 Windows資源管理器中無(wú)法查看的隱藏文件和目錄
2、寫(xiě)入的注冊表項目
據安裝前后的注冊表導出比較后得出的不完全統計，系統注冊表被寫(xiě)入的內容大致如下（因瀏覽網(wǎng)頁(yè)等操作會(huì )導致動(dòng)態(tài)修改，因此可能會(huì )有一些誤差）：
安裝3721后，注冊表中被寫(xiě)入122個(gè)鍵項、408個(gè)鍵值；
安裝上網(wǎng)助手后，注冊表中被寫(xiě)入251個(gè)鍵項、656個(gè)鍵值。
遺憾的是，按正確的方法卸載、重啟后注冊表項目仍然無(wú)法全部被清除！
3、多種途徑實(shí)現的自動(dòng)加載項
3721聲明以標準系統接口實(shí)現自動(dòng)加載，而且將這些標準接口利用得淋漓盡致！
⑴上網(wǎng)助手在注冊表HLM下面的Run鍵項中添加helper.dll、YDTMain.exe、CnsMin三個(gè)自動(dòng)加載模塊，而且卸載、重啟后仍然存在（圖20）；
⑵通過(guò)驅動(dòng)程序模式加載CnMinPK.sys模塊，實(shí)現進(jìn)程隱藏，并且通過(guò)系統本身的Msconfig無(wú)法檢測；
⑶通過(guò)其多個(gè)模塊之間的相互修復和守護實(shí)現，實(shí)現交叉安裝、修復、加載；
⑷通過(guò)嵌入瀏覽器幫助對象，實(shí)現功能的自動(dòng)加載；
⑸通過(guò)各模塊卸載對話(huà)框中的修復選項，誘導用戶(hù)在卸載某個(gè)模塊的同時(shí)，修復和自動(dòng)加載另一些模塊；
⑹通過(guò)捆綁到某些第三方安裝程序，在安裝過(guò)程中實(shí)現自動(dòng)安裝和自動(dòng)加載。

圖 20 卸載后仍然自動(dòng)重啟的模塊
4、自我守護的進(jìn)程
如圖21，安裝上網(wǎng)助手后，任務(wù)列表中會(huì )存在三個(gè)進(jìn)程，其中以Rundll32.exe顯示的兩個(gè)進(jìn)程可以實(shí)現自動(dòng)交叉修復，即一個(gè)進(jìn)程是另外一個(gè)進(jìn)程的守護進(jìn)程。因此，使用Windows任務(wù)管理器是無(wú)法順利將它們從內存中關(guān)閉的，這點(diǎn)相信多數人深有體會(huì )！

圖 21 創(chuàng )建多個(gè)進(jìn)程并且可自我守護
5、植入系統的瀏覽器加載項
圖22是上網(wǎng)助手自動(dòng)植入系統中的8種瀏覽器加載項。用戶(hù)的瀏覽器成為幾大公司發(fā)財的財源基地。余下的就差沒(méi)有拿著(zhù)刀子上門(mén)直接搶錢(qián)了。

圖 22 一口氣自動(dòng)植入8種瀏覽器加載項6、自動(dòng)植入瀏覽器工具欄的多種無(wú)關(guān)按鈕
呵呵，安裝后，瀏覽器上什么Yahoo!等亂七八糟的按鈕一股腦兒給你安裝上了，甚至連資源管理器也沒(méi)有放過(guò)。
7、控制面板添加刪除程序列表中的多余項目
在未被明確告知的情況下，安裝上網(wǎng)助手后，控制面板的添加刪除程序列表中會(huì )額外加入兩個(gè)程序項目。
8、植入系統的系統服務(wù)表
使用IceSword這款安全工具檢測系統服務(wù)描述表（SSDT），可以發(fā)現除Ntoskrnl.exe這個(gè)系統內核外，就是3721和上網(wǎng)助手的“CnsMinKP.sys”了。搞編程的人知道這做到了什么級別，普通網(wǎng)民反正“眼不見(jiàn)為凈”?？梢?jiàn)功夫真的下到了家了！

圖 23 資源管理器中被強行植入的按鈕
9、自動(dòng)創(chuàng )建的線(xiàn)程情況
從圖24可以看出，上網(wǎng)助手及其模塊自動(dòng)創(chuàng )建的線(xiàn)程數之多，在系統總體線(xiàn)程數的比例上是多得令人吃驚的！該圖為未打開(kāi)任何瀏覽器以及其他相關(guān)窗口情況下的線(xiàn)程創(chuàng )建情況（部分需滾動(dòng)才能查看）。

圖 24 不知道什么時(shí)候被植入的額外兩個(gè)模塊
10、后臺運行的消息鉤子
有興趣的人可以看看圖25中的鉤子類(lèi)型，看看3721利用的大量鉤子函數在干些什么。

圖 25 通過(guò)任務(wù)管理器無(wú)法查看到的系統服務(wù)表
11、植入瀏覽器右鍵菜單的“！搜一搜”菜單項
呵呵，瀏覽器右鍵菜單中被植入的“！搜一搜”是不是該倒過(guò)來(lái)從右向左讀？這個(gè)世界的法則是不是也要倒過(guò)來(lái)解讀（圖26）？

圖 26 自動(dòng)創(chuàng )建的線(xiàn)程列表
12、上網(wǎng)助手Assistse.exe打開(kāi)本地1028端口
如圖27，上網(wǎng)助手Assistse.exe打開(kāi)本地UDP 1028端口，作用不明。

圖 27 端口打開(kāi)情況
13、植入Internet選項設置
圖28是植入到Internet選項的“高級”設置的內容?？纯?，還有“自動(dòng)升級”功能呢，有什么新的手段或主意了，再在您的系統中試試？

圖 28 Internet選項中被植入的內容
四、3721及上網(wǎng)助手卸載情況剖析
有人在網(wǎng)卡撰文說(shuō)3721現在可以通過(guò)其卸載程序干凈地卸載了。事實(shí)情況真的是這樣嗎？請看——
1、“完全刪除”和“完全卸載”的卸載承諾
如圖32，無(wú)論3721網(wǎng)絡(luò )實(shí)名還是上網(wǎng)助手，在卸載程序中都承諾“把上網(wǎng)助手從電腦中完全刪除”和“完全卸載實(shí)名插件并關(guān)閉實(shí)名功能”。

圖 29 卸載界面的承諾
2、完全卸載不完全
網(wǎng)絡(luò )實(shí)名卸載成功并重啟后，在資源管理器中無(wú)法看到WindowsDownloaded Program Files文件夾中有任何文件（即使你將資源管理器設置為顯示所有文件、顯示系統文件）。

圖 30 3721卸載重啟后資源管理器無(wú)法看到的隱藏文件
但使用著(zhù)名的Total　Commander文件管理器，卻發(fā)現有一個(gè)zsmod.dll的隱藏文件！如果是卸載上網(wǎng)助手，卸載成功并重啟后，上述目錄居然隱藏有30個(gè)文件1個(gè)文件夾

以zsmod.dll為關(guān)鍵字在注冊表編輯器中搜索，可以發(fā)現這個(gè)文件并非是一個(gè)被“遺忘”的死文件，而是有相應的注冊表鍵值！

卸載上網(wǎng)助手成功并重啟后，檢測BHO（瀏覽器幫助對象），發(fā)現系統中仍然保留有YDT.DLL和CnsHook.dll這兩個(gè)BHO對象！

卸載上網(wǎng)助手成功并重啟后，檢測自動(dòng)加載項目，發(fā)現仍然存在helper.dll、YDTMain.exe、CnsMin三個(gè)自動(dòng)加載的程序項目！

再檢測系統已經(jīng)加載的內核模塊，發(fā)現以驅動(dòng)形式加載的CnsMinKP.sys仍然被成功加載！以CnsMinKP.sys在注冊表編輯器中搜索，卸載成功并重啟后注冊表中仍然保留CnsMinKP.sys的3處隱藏服務(wù)鍵值，使得卸載操作完全是一個(gè)騙局，其基本功能根本沒(méi)有受到影響，至多是那個(gè)一般情況下顯示在系統托盤(pán)的可以向用戶(hù)提供“服務(wù)”的小圖標不見(jiàn)了！當然，系統Drivers目錄中的CnsMinKP.sys文件依然完好，沒(méi)有受到任何破壞！

看看系統進(jìn)程如何。YDTMain.exe、相互守護的Rundll32.exe共3個(gè)進(jìn)程仍然靜靜地在那兒！
由此可見(jiàn)，上述就是所謂的“把上網(wǎng)助手從電腦中完全刪除”的真相！
真的想把它們徹底清除嗎？可以，手工在添加刪除程序列表中把另外未被告知的兩個(gè)3721強行安裝的程序一一卸載（卸載時(shí)注意看清楚相關(guān)選項！否則可能又相互修復），此時(shí)絕大多數文件和注冊表被清除。但WindowsDownloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關(guān)的注冊表鍵值卻永遠不會(huì )被清除！

3、額外安裝的兩個(gè)模塊必須另行卸載
下圖就是安裝時(shí)未被明確告知就強行安裝的、需要我們手工卸載的垃圾程序。

4、卸載過(guò)程中仍然試圖交叉修復
卸載這些額外程序模塊的過(guò)程中，存在默認被選中的以“卸載”二字開(kāi)頭的一個(gè)選項：
“卸載上網(wǎng)助手-地址欄搜索后保留上網(wǎng)助手等按鈕”
如果你操作中只看了前面半句，以為是選擇了“卸載”它們，那你就錯了！
由此可見(jiàn)3721的對用戶(hù)的心理和電腦使用習慣研究得非常透徹，能夠利用的都充分利用了！

卸載過(guò)程中仍然試圖交叉修復

我對痛苦的看法是----自作自受！

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久