|
|
楼主 |
发表于 2010-2-18 10:44:32
|
显示全部楼层
但实际上,在浏览器中右击鼠标,“!搜一搜”的3721附加的菜单项已经如同系统默认菜单项那样被保存下来(图13)。令人不解的是,“!搜一搜”这种表达方式不知在中国语言学中算是一种什么手法?
/ c& B" p2 L5 e3 x k / A& r' u9 ?, ]; ]" ~
图 13 3721自动添加的右键菜单不算清理对象 . N, z9 `0 C: n% f8 P
7、自欺欺人的“清理IE工具条”
6 O" r9 z* k. O( {1 D试试“清理IE工具条”的效果如何。清理后,报告“没有可清理的工具条!”,但IE工具栏上被3721自动植入的那个带有扫把图标的工具条和其他几个按钮好好的毫发无损(图14)。难道它自己的这些就不属于系统之外的第三方工具条吗?工具栏按钮清理也是如此。 o/ S' Z3 j; b& T, c: h4 C S
; ?2 ?4 L1 ~& N
图 14 清理IE工具条结果 ! v; Z: e2 z9 f/ B+ F: Y
8、IE 工具栏“重置”功能不能重置3721植入的工具栏按钮 0 E- W9 b( `$ X1 e. t. I* @$ E: [ b
既然上网助手拒绝给我干活,那么就用IE本身的功能设置来恢复工具栏按钮吧。
0 l( w( H0 D% G打开自定义工具栏对话框,点击“重置”,那些被强行植入的按钮闪动了一下,片刻又立即得到恢复(图15)。
I1 N, d; F3 {$ X# x系统的基本功能在3721的作用下已经部分失效! 6 J. m1 K j9 d N
# N+ V- V9 s4 J0 g
图 15 “重置”工具栏按钮后的效果
O* Z) x$ ^ Q% q0 v9 a y9、对系统稳定性的影响
( A& S1 W% k9 V# R6 R" X在虚拟机环境下,直接在浏览器地址栏输入“合工大”进行搜索,前后测试6次,每次都是立即蓝屏(图16)。 / H4 }; H, N. b: Q6 K' `. }
虽然虚拟机环境与真实环境可能有一些差异,但虚拟机对内存要求较高,系统资源占用较大,据此我们不能确定在真实系统环境也是如此,但起码可以确定,搜索助手对系统资源的分配肯定存在某种负面影响(或者是存在某种BUG),在对资源需求较大时,会对系统产生不利影响。
# u5 K" r% [$ e" a8 k5 u8 b
: Z2 j* F( W- o. \图 16 半个工作日的搜索测试中系统蓝屏6次
& p% F8 F( J3 A7 h三、3721对系统的写入情况剖析
6 l' `2 E- ^2 a( B根据网络实名网站自称的“详细技术原理”,我们看看真实情况是否如网站上所告知的那样。图17是其对用户告知的内容。在随后的检测项目中,我们看看它“详细”到什么程度,用户和知情权体现在什么地方。
2 \' Z q" t3 d5 k- R
" U$ w# ]0 a2 P, h图 17 网络实名的“详细技术原理”
! F( y8 D' X9 k0 T W* o1、向系统植入的文件
/ C b# |0 u& w$ s! R8 k7 p1 |除了有专门的程序文件夹,3721还在WindowsDownloaded Program Files目录以隐藏的方式保存其文件以便快速修复;在系统驱动程序目录植入驱动程序文件并保证安全模式(即使你不上网!)也能够被加载并且不能被直接删除(图18、图19)。 & E/ F0 l3 C4 T) W
①安装3721后的文件植入情况:
6 X2 |4 o3 Z u9 M W! a& j: z3 R; I● WindowsDownloaded Program Files目录被植入37个文件1个文件夹; ) r, j9 d/ T0 O2 {
● WindowsSystem32Drivers目录植入CnMinPK.sys驱动程序文件。 1 q8 y/ N$ e( L. s! G* D
● Program Files目录植入目录名为3721,共含15个文件和1个文件夹。 + i2 j" w: q1 p3 t
共计植入53个文件和2个子文件夹。 & \$ p9 O+ Y. I" E% f+ ]
②安装上网助手后的文件植入情况:
* r+ y) G! [3 p! w4 U' T+ q/ \/ K9 Y, S● WindowsDownloaded Program Files目录被植入30个文件1个文件夹; " [/ A& Q5 g0 o/ |
● WindowsSystem32Drivers目录植入CnMinPK.sys驱动程序文件。 4 {+ ?3 b( o7 a6 e1 O4 \
● Program Files目录植入目录名为3721,共含79个文件和7个文件夹。 & u$ T# e$ x$ X8 A2 @
● Program Files目录植入目录名为YDT,共含4个文件和1个文件夹。
- O) {: p5 ]% q! \& h" ~, l2 R+ {共计植入114个文件和9个子文件夹。 j Y: k) B8 U& J* Y6 I) [! b
1 E* W: P+ x5 ]& r图 18 以驱动方式植入系统,安全模式也能生效
+ `8 p1 i% Q9 V6 i* }3 H2 |8 ] 0 D# O/ p+ b$ V( B0 O9 w* I
图 19 Windows资源管理器中无法查看的隐藏文件和目录
% x- o" M E$ ]+ h/ [# p ]2、写入的注册表项目 & ^- a% W% L3 s7 W, t- U& y! D' _
据安装前后的注册表导出比较后得出的不完全统计,系统注册表被写入的内容大致如下(因浏览网页等操作会导致动态修改,因此可能会有一些误差): 5 ~ Z0 |5 y* A+ I5 y
安装3721后,注册表中被写入122个键项、408个键值; " l* i& `; x/ u( z2 s% r
安装上网助手后,注册表中被写入251个键项、656个键值。
+ N+ D0 U3 ~: a# W- a z# L遗憾的是,按正确的方法卸载、重启后注册表项目仍然无法全部被清除!
1 A$ T0 l- d: H, \% E; i4 @3、多种途径实现的自动加载项
0 B2 f( x$ f, ~# z3721声明以标准系统接口实现自动加载,而且将这些标准接口利用得淋漓尽致!
' c8 r4 ?2 E% `6 ~0 q; w, N/ ?⑴上网助手在注册表HLM下面的Run键项中添加helper.dll、YDTMain.exe、CnsMin三个自动加载模块,而且卸载、重启后仍然存在(图20);
; S* {$ T* Z8 {2 [⑵通过驱动程序模式加载CnMinPK.sys模块,实现进程隐藏,并且通过系统本身的Msconfig无法检测;
! b) w0 F8 `. [4 L⑶通过其多个模块之间的相互修复和守护实现,实现交*安装、修复、加载;
. H$ {" {. E0 \: g9 q⑷通过嵌入浏览器帮助对象,实现功能的自动加载;
8 G3 C6 ^; i# I4 H⑸通过各模块卸载对话框中的修复选项,诱导用户在卸载某个模块的同时,修复和自动加载另一些模块;
; q: Z1 d6 b8 q. X. R3 `1 s⑹通过捆绑到某些第三方安装程序,在安装过程中实现自动安装和自动加载。 2 p0 [* V+ J6 F% n; i0 X B$ c5 ~9 F
6 h4 f# i: W( k6 g$ R# N' r' s G
图 20 卸载后仍然自动重启的模块 4 J* A) f# a. h6 C% ?' {: G3 i) p
4、自我守护的进程 2 d2 ]' i2 S ~% ^2 w) B& w" k( W' Z
如图21,安装上网助手后,任务列表中会存在三个进程,其中以Rundll32.exe显示的两个进程可以实现自动交*修复,即一个进程是另外一个进程的守护进程。因此,使用Windows任务管理器是无法顺利将它们从内存中关闭的,这点相信多数人深有体会! 9 X/ y) A2 `3 [; B# }
& v+ J2 e T5 G9 `5 f图 21 创建多个进程并且可自我守护
3 Y8 \, o( U/ E% H- p5 H. F5、植入系统的浏览器加载项
7 @. j' Q& F Z6 l I4 q图22是上网助手自动植入系统中的8种浏览器加载项。用户的浏览器成为几大公司发财的财源基地。余下的就差没有拿着刀子上门直接抢钱了。
, Z0 M& {% d1 @" e( [
7 ~' y' |; _2 ?0 _! F- q; x& u图 22 一口气自动植入8种浏览器加载项 ' H, L+ e8 ^: b: b
6、自动植入浏览器工具栏的多种无关按钮
) l: \( L1 t% L8 r5 N呵呵,安装后,浏览器上什么Yahoo!等乱七八糟的按钮一股脑儿给你安装上了,甚至连资源管理器也没有放过(图23,够贴心的吧)。
! G3 D+ \, A. v, p- }- ` 7 O- j( o8 W# U; Y" U0 V0 s, x
图 23 资源管理器中被强行植入的按钮 ' q" T5 Y: m2 X: j
7、控制面板添加删除程序列表中的多余项目 2 @) z4 |2 l. O8 V$ q- C3 i! ?
在未被明确告知的情况下,安装上网助手后,控制面板的添加删除程序列表中会额外加入两个程序项目(图24)。
6 `, f2 ^% N. V: p* l* p
# ?$ h8 \# t \" |图 24 不知道什么时候被植入的额外两个模块
. F# t7 ^4 C: M$ ~8、植入系统的系统服务表
% e& P6 Q7 n% Q" \. l使用IceSword这款安全工具检测系统服务描述表(SSDT),可以发现除Ntoskrnl.exe这个系统内核外,就是3721和上网助手的“CnsMinKP.sys”了。搞编程的人知道这做到了什么级别,普通网民反正“眼不见为净”。可见功夫真的下到了家了! # a# V. x+ p. g: O4 [ e
; Q# z% y9 Z R" C$ ?1 U
图 25 通过任务管理器无法查看到的系统服务表
9 F* l7 x0 u) q' {; B+ D! Y9、自动创建的线程情况
9 e+ L' _+ m0 s3 j1 w从图26可以看出,上网助手及其模块自动创建的线程数之多,在系统总体线程数的比例上是多得令人吃惊的!该图为未打开任何浏览器以及其他相关窗口情况下的线程创建情况(部分需滚动才能查看)。 : t: M. }8 [' F' C+ d& V
# Y* z, F. x/ r* S, G. c6 L
图 26 自动创建的线程列表 ( Q0 a: F5 l, L. l
10、后台运行的消息钩子 ) G& B3 ]* j; ^' T! p# S9 F
有兴趣的人可以看看图27中的钩子类型,看看3721利用的大量钩子函数在干些什么。 ; x% ?/ ]# A8 D$ l6 v3 i
6 d. |* P0 X+ W/ G+ F9 F: q( r0 g
图 27 众多的消息钩子 ( P+ m5 `5 P' s6 ?* C( P) ~
11、植入浏览器右键菜单的“!搜一搜”菜单项
3 P1 m g" n& {( B" M3 W 6 ^. j# g) o/ Z" G
右键菜单中被植入的“!搜一搜”是不是该倒过来从右向左读?这个世界的法则是不是也要倒过来解读(图28)?
: c$ T0 B1 j& p) S7 `
8 y5 d! n" O6 s; w图 28 浏览器右键菜单项
" O6 q: J+ O, q5 V$ _+ ^+ n6 T1 X12、上网助手Assistse.exe打开本地1028端口
- B/ [# a! I! L$ H( [) F如图29,上网助手Assistse.exe打开本地UDP |
|
|小黑屋|最新贴|维修网
( 粤ICP备09047344号 ) 
窥视卡
雷达卡
发表于 2010-2-18 10:44:31
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡