3721與互聯網助手綜合分析
作者:合肥工業大學imxk日期:2005年6月27日
3721真的能卸載幹凈嗎?
3721真的是中文上網那麽簡單嗎?
3721對網絡乃至國家安全的危害只是妳目前意識到的嗎?
3721自稱的“詳細技術情況”真的給妳知情權了嗎?
3721上網助手真的是妳的“助手”嗎?
完整的披露令人震驚!
3721作為壹個可以自動安裝並且擁有非常廣泛普及性的網絡程序,近年來壹直備受爭議。本文試圖從安裝、卸載、服務、系統影響等方面列舉壹系列客觀事實。相關觀點僅代表作者個人觀點,相信每個人都有自己的結論,希望引起相關部門的重視。
測試環境:VMWare虛擬機,* * *享受主機連接,用獨立的公網IP地址接入互聯網;操作系統是默認安裝的Windows XP Pro SP2。只直接復制文件管理程序Total Commander、註冊表跟蹤工具Advanced Registry Tracer、快照工具UltraSnap和打字必備的五筆輸入法,不安裝其他軟件。此外,有些圖片以重疊的方式顯示多張圖片的內容,以節省空間。
壹、3721安裝分析
1.安裝推廣以“反復提示”和轉向捆綁為主。
自從在Windows XP SP2中引入增強的安全功能後,3721的頻繁安裝提示得到了有效抑制(圖1)。因此,推廣安裝方式除了傳統的通過瀏覽器植入、直接下載的方式安裝外,還發展了與壹些* * *軟件、免費軟件捆綁的方式(圖2)。雖然新的捆綁安裝方式中有安裝選項,但是習慣了“全程回車方式”的用戶很有可能會被方便地加載到系統中!
圖1 Windows XP SP2的安全機制給3721的安裝帶來不便。
圖2通過免費或* * *,默認捆綁安裝軟件。
2.“壹拖三”的安裝方式,偷偷植入另壹個模塊。
如果安裝了上網助手,其實並不是上網助手的壹個程序同時被植入系統,而是同時默默植入了“地址欄搜索”和“搜索助手”兩個獨立的程序(圖3)。
卸載互聯網助手時,不會卸載另外兩個程序;在卸載每壹套程序時,在卸載對話框中增加了保留其他模塊的選項,實現自我交叉修復,無需刻意卸載。
圖3
3.完善的自我保護機制
從安裝、防護、卸載、維修等方面來看,各個環節都是緊密相連的(圖4)。任何壹個環節處理不當,都無法實現表面的幹凈卸載(除非人工清理,否則無法實現完全卸載,後面會詳細介紹)。
圖4每個環節的保護機制都是互鎖的,不容易拆除。
二、3721與互聯網助手提供的“貼心”服務分析
它號稱提供各種貼心服務,其服務項目標註的功能也很不錯。我們對其中的幾個進行了壹個簡單的測試,看看3721提供了什麽樣的“服務”和質量。
1,黃毒橫行。
3721安裝上網助手後,在沒有通知的情況下,在瀏覽器地址欄植入了20多個網址列表,其內容無外乎色情、娛樂、賺錢等(圖5)。
從其強行植入地址欄的網址列表來看,裝有3721或上網助手的電腦,不折不扣地成了“不適合兒童”的電腦!
看壹下“美女如雲-654.38+0.5億張圖片”的強行植入鏈接,隨意點幾個鏈接。於是乎(如圖6),“裸體”、“自拍”、“三星級電影”、“勾引荒淫少婦”、“酒店偷房”、“無限激情”等難聽的詞匯就湧上心頭。
如果具體內容條款和其他夥伴有關,那就看看3721推薦的“美人如雲-15億圖心情體驗”主頁面,有哪些類別的“波霸”“色情”讓人印象深刻(圖7)。
我們來看看3721推薦的“快速寬帶影院”(圖8)。性愛日記,姐妹情色,村妓,出軌家庭占了大部分內容。妳能從中找到哪怕壹點點健康、積極、向上的內容嗎?!
這是3721和互聯網助手提供的服務中內容口味的冰山壹角。
圖5瀏覽器地址欄自動植入瀏覽器的URL列表
圖6自動填充瀏覽器地址歷史中的壹個鏈接內容。
圖7歷史鏈接的第二部分自動植入瀏覽器地址欄。
圖8歷史鏈接的第3部分自動植入瀏覽器地址欄。
2.“網絡釣魚”如火如荼
除了以上明目張膽的色情(公開傳播的內容中,哪壹條不是色情,哪壹條不是色情?)推廣,它也采用了釣魚的方式來引誘點擊:打著“免費電影”的幌子,在播放器上貼滿廣告,當用戶點擊播放器時,就會觸發對廣告的點擊(圖9)。
這種點擊的誘惑只是壹種方式。有了這種“高級”的方式,還有什麽做不到的?
圖9瀏覽器地址欄歷史鏈接中自動植入的免費電影(釣魚:通過疊加Flash廣告和播放按鈕引誘用戶點擊)。在此設定不顯示Flash以暴露其重疊的幀結構)
3.貼心功能不貼心
很多人看中了互聯網助手的彈窗廣告過濾功能。來看看真實情況吧!
使用/popupkillertest的專業測試頁面進行彈窗過濾測試。為了避免幹擾,先關閉Windows XP SP2本身的彈窗過濾功能(沒有人會說互聯網助手的彈窗過濾依賴於Windows XP SP2的相關功能吧?!)。
測試結果,27項測試中,不合格項:第3項,第6項(1,2),第8項,第9項,第10項,第11項,第12項,第16項,第1項。* * *有15項(18項)測試不合格,55%的項目過濾不合格,66%的項目不合格(圖10)。也就是說,以百分制來看,互聯網助手的彈窗過濾能力連個及格分都沒有!
啟用Windows XP SP2的彈出過濾功能,或者使用傲遊等具有彈出過濾功能的第三方瀏覽器,同壹個項目的測試結果完全不同!具體信息我暫時不提供,大家可以自己測試對比,好好體驗壹下這種在線“助手”能力!
圖10彈出窗口過濾測試中可怕的過濾結果
4.“清理痕跡”到底清理了誰的痕跡?
圖11是上網助手的“痕跡清理”功能測試。執行清理,得到“目前沒有網址記錄!”但是打開瀏覽器的歷史側邊欄,結果是什麽?
圖11誰的痕跡被“痕跡清理”了?
5.外掛管理專家別有用心。
打開互聯網助手的插件管理專家,其中只有搜索助手被“謙虛”地列出;但是當妳打開瀏覽器的加載項對話框,3721和互聯網助手植入的十幾個加載項就讓人印象深刻了(圖12)!其他國家的插件都是插件,自己偷偷植入的很多小玩意都不是插件。這是什麽邏輯?!
圖12“插件管理專家”對自己的垃圾插件視而不見。
6.將您的“搜索”右鍵菜單視為系統默認菜單。
我們來看看“恢復IE外觀”中“清理IE右鍵菜單”的功能。清洗後,報告“沒有菜單要清洗!”
但實際上,在瀏覽器中右擊鼠標,“!搜索的附加菜單項3721”已被保存為系統的默認菜單項(圖13)。令人費解的是,“!中國語言學中的“搜”是什麽表達?
圖13 3721自動添加的右鍵菜單不是清洗對象。
7、自欺欺人的“清理IE工具欄”
試試“清理IE工具欄”的效果。清理後報告“無工具欄可清理!”但是3721自動植入IE工具欄的帶有掃帚圖標的工具欄和其他幾個按鈕完好無損(圖14)。它自己的這些不屬於系統外的第三方工具欄嗎?工具欄按鈕清理也是如此。
圖14清理IE工具欄結果
8.IE工具欄的“重置”功能無法重置3721植入的工具欄按鈕。
既然互聯網助手拒絕為我工作,我就用IE自帶的功能設置恢復工具欄按鈕。
打開自定義工具欄對話框,點擊“重置”,那些強行植入的按鈕會閃爍壹會兒,然後馬上恢復(圖15)。
系統基本功能在3721的作用下已經部分失效!
圖15工具欄按鈕"重置"後的效果
9.對系統穩定性的影響
在虛擬機環境下,直接在瀏覽器地址欄輸入“河工大”進行搜索,前後測試6次,每次都是馬上藍屏(圖16)。
雖然虛擬機環境和真實環境之間可能存在壹些差異,但是虛擬機需要很高的內存並占用大量的系統資源。基於此,我們不能確定在真實的系統環境中也是如此,但至少可以確定,搜索助手壹定對系統資源的分配產生了某種負面影響(或者某種BUG),在資源需求較大的情況下,會對系統產生不利影響。
圖16在半個工作日的搜索測試中,系統藍屏6次。
第三,3721寫入系統。
根據網絡實名網站自稱的“詳細技術原理”,我們來看看真實情況是否如網站上所說。圖17是它告訴用戶的。在後續的測試項目中,我們來看看它“詳細”到什麽程度,用戶和知情權體現在哪裏。
圖17網絡實名“詳細技術原理”
1.植入系統的文件
3721除了有專門的程序文件夾,還將其文件以隱藏的方式保存在Windows\Downloaded Program Files目錄下,以便快速修復;在系統驅動目錄中植入驅動文件並確保安全模式(即使不在線!)也可以加載,不能直接刪除(圖18,圖19)。
①安裝3721後的文件植入:
Windows \下載程序文件的目錄填充了37個文件和1個文件夾;
● Windows\System32\Drivers目錄中填充了CnMinPK.sys驅動程序文件。
●程序文件目錄的名稱為3721,* *包含15個文件和1個文件夾。
* * *有53個文件和2個子文件夾。
(2)安裝互聯網助手後的文件植入:
●Windows \ downloaded program files目錄包含30個文件和1個文件夾;
● Windows\System32\Drivers目錄中填充了CnMinPK.sys驅動程序文件。
●程序文件目錄名為3721,* * *包含79個文件和7個文件夾。
●程序文件目錄名為YDT,* * *包含4個文件和1個文件夾。
* * *有114個文件和9個子文件夾。
圖18當系統植入駕駛模式時,安全模式也可以生效。
圖19無法在Windows資源管理器中查看的隱藏文件和目錄
2.書面註冊表條目
根據安裝前後註冊表導出比較後得到的不完全統計,系統註冊表中寫入的內容大致如下(由於瀏覽網頁導致的動態修改可能會有壹些錯誤):
安裝3721後,註冊表中寫入122項和408項值。
安裝Internet Assistant後,註冊表中寫入了251項和656個鍵值。
遺憾的是,正確卸載並重啟後,所有註冊表項仍然無法清除!
3、多種方式實現自動加載項。
3721聲明自動加載是通過標準系統接口實現的,這些標準接口被充分利用!
(1)互聯網助手在註冊表HLM下的Run key項中添加了helper.dll、YDTMain.exe、CnsMin三個自動加載模塊,卸載重啟後依然存在(圖20);
⑵通過驅動方式加載CnMinPK.sys模塊,實現進程隱藏,無法通過系統本身的Msconfig檢測;
⑶通過多個模塊之間的互修互護,實現交叉安裝、維修和裝載;
⑷通過嵌入瀏覽器幫助對象實現功能的自動加載;
⑸通過模塊卸載對話框中的修復選項,在卸載壹個模塊的同時,誘導用戶修復並自動加載其他模塊;
[6]通過綁定壹些第三方安裝程序,可以在安裝過程中實現自動安裝和自動加載。
圖20卸載後仍自動重啟的模塊
4、自我保護的過程
如圖21所示,安裝互聯網助手後,任務列表中會出現三個進程,其中Rundll32.exe顯示的兩個進程可以實現自動交叉修復,即壹個進程是另壹個進程的守護進程。所以用Windows任務管理器是不可能從內存中成功關閉它們的,這壹點相信大多數人都深有體會!
圖21創建多個進程,可以自我保護。
5.嵌入系統的瀏覽器插件。
圖22示出了自動互聯網助理植入系統中的八個瀏覽器插件。用戶的瀏覽器已經成為幾大公司發財的金融基礎。剩下的只是沒拿刀上門直接搶錢。
圖22壹口氣自動填充了8個瀏覽器插件。
6.在瀏覽器工具欄中自動植入各種無關按鈕。
呵呵,裝了之後,瀏覽器上什麽雅虎啊!當亂七八糟的按鈕都給妳裝好了,連資源管理器都沒放過(圖23,夠甜了)。
圖23瀏覽器中的強制按鈕
7.控制面板添加和刪除程序列表中的冗余項目。
在沒有明確通知的情況下,安裝Internet Assistant後,兩個附加程序項將被添加到控制面板的添加/刪除程序列表中(圖24)。
圖24。不知道多出來的兩個模塊是什麽時候植入的。
8.植入系統的系統服務表
用安全工具IceSword檢測系統服務描述表(SSDT),可以發現除了Ntoskrnl.exe,就是3721和互聯網助手的“CnsMinKP.sys”。程序員都知道這達到了什麽水平,普通網民反正是“眼不見為凈”。可見功夫真的到家了!
圖25無法通過任務管理器查看的系統服務表
9.自動創建的線程
從圖26可以看出,互聯網助手及其模塊自動創建的線程數量在系統線程總數中所占的比例大得驚人!這張圖片顯示了在不打開任何瀏覽器和其他相關窗口的情況下創建線程的過程(其中壹些窗口需要滾動才能查看)。
圖26自動創建的線程列表
10,消息鉤子在後臺運行
感興趣的人可以看看圖27中的鉤子類型,看看3721用大量鉤子函數做什麽。
圖27眾多的消息掛鉤
11."!搜索”菜單項
呵呵,植入的”!“搜索”應該從右往左倒著讀嗎?這個世界的規律應該反過來解讀嗎(圖28)?
圖28瀏覽器右鍵菜單項
12,互聯網助手Assistse.exe打開1028本地端口。
如圖29所示,互聯網助手Assistse.exe打開了本地UDP 1028端口,該端口的功能未知。
圖29端口打開
13,植入互聯網選項設置
圖31是“高級”設置植入互聯網選項的內容。看,還有“自動升級”功能。有什麽新的手段或想法?在妳的系統裏再試壹次?
圖31互聯網選項中植入的內容
4.3721與互聯網助手卸載分析
有人在網卡上寫道,3721現在可以通過它的卸載程序幹凈卸載了。真的是這樣嗎?請看看-
1的卸載承諾,“完全刪除”和“完全卸載”
如圖32所示,3721網絡實名和上網助手均在卸載程序中承諾“從電腦中徹底刪除上網助手”和“徹底卸載實名插件,關閉實名功能”。
圖32卸載接口的提交
2.完全卸載是不完整的
網絡實名卸載成功重啟後,在瀏覽器中的Windows\Downloaded Program Files文件夾中看不到任何文件(即使設置瀏覽器顯示所有文件和系統文件)。但是使用著名的總指揮官文件管理器,我發現了zsmod.dll的隱藏文件(圖33)!如果卸載互聯網助手,卸載成功重啟後,上面的目錄中居然隱藏了30個文件和1個文件夾(圖34)!
在註冊表編輯器中以zsmod.dll為關鍵字進行搜索,可以發現這個文件並不是壹個“被遺忘”的死文件,而是有對應的註冊表鍵值(圖35)!
成功卸載並重啟互聯網助手後,我們檢測到了BHO(瀏覽器幫助對象),發現系統中還有still和CnsHook.dll兩個BHO對象(圖36)!
成功卸載並重啟互聯網助手後,我們對自動加載項進行了檢測,發現仍然有三個自動加載程序項:helper.dll、YDTMain.exe、CnsMin(圖37)!
重新檢查系統已經加載的內核模塊,發現以驅動程序形式加載的CnsMinKP.sys仍然加載成功(圖38)!用CnsMinKP.sys在註冊表編輯器中搜索,成功卸載重啟後,註冊表中仍然保留了cnsminkp.sys的三個隱藏服務鍵值(圖39),這使得卸載操作完全是壹個騙局,其基本功能完全不受影響。最多就是系統托盤裏顯示的能給用戶提供“服務”的小圖標不見了!當然,系統驅動目錄下的CnsMinKP.sys文件還是完好的,沒有被破壞!
看系統怎麽走。如圖40,三個進程,YDTMain.exe和Rundll32.exe***3 * *互相守護,還在那裏靜靜的!
可見,以上就是所謂的“電腦徹底刪除上網助手”的真相!
妳真的想徹底擺脫他們嗎?可以,在添加/刪除程序列表中手動卸載另外兩個被3721強行安裝的程序(卸載時註意相關選項!否則,它們可能會互相修復)。此時,大多數文件和註冊表都被清除。但是zsmod.dll在Windows\Downloaded Program Files文件夾中的隱藏文件和相關註冊表鍵值永遠不會被清除!
圖33 3721卸載重啟後資源管理器看不到的隱藏文件。
圖34互聯網助手重啟後卸載大量隱藏在系統目錄下的文件(Windows Explorer無法以任何方式查看,但Total Commander可以顯示)。
圖35卸載和重啟後註冊表中保留的鍵值
圖36。卸載並重新啟動後仍保留的瀏覽器幫助對象模塊。
圖37卸載和重啟後仍保留的自動加載項目。
圖38。卸載並重新啟動後,內核模塊仍以驅動模式加載。
圖39三個隱藏的服務鍵值在卸載和重啟後仍然保留在註冊表中。
圖40。互聯網助手卸載重啟後仍在運行的後臺進程和仍然存在的瀏覽器工具欄按鈕。
3.這兩個附加模塊必須單獨卸載。
圖43是壹個垃圾程序,安裝時沒有明確告知就強行安裝,需要我們手動卸載。
圖43必須手動卸載兩個附加模塊。
4.卸載期間仍會嘗試交叉修復。
在卸載這些額外程序模塊的過程中,有壹個以默認選中的單詞“uninstall”開頭的選項:
“卸載互聯網助手-在地址欄中搜索後保留互聯網助手和其他按鈕”
如果妳只看了前半句就認為妳選擇了“卸載”它們,那妳就錯了!
這說明3721對用戶的心理和電腦使用習慣進行了深入的研究,充分利用了壹切可以利用的東西!
圖44卸載期間仍嘗試交叉修復。
動詞 (verb的縮寫)3721綜合行為的法律與道德分析
1、3721與網絡助手道德水平分析
什麽“裸體”、“自拍”、“三星級電影”、“誘奸荒淫少婦”、“酒店偷房”、“無限激情”都褻瀆了網友的品味。對青少年產生極其惡劣的誤導和誘惑;汙染了網絡環境。
在沒有明確通知的情況下強行植入其他程序模塊。
系統驅動加載無法避免安全模式。連Windows都是把帶網絡連接的安全模式作為單獨的項目提供給用戶,而3721則是不分青紅皂白。無論用戶是否使用網絡,加載都沒有商量的余地!
2.3721與網絡助手的法律分析
額外安裝程序侵犯了知情權;
強行植入不適合兒童的網址鏈接,忽視對未成年人權益的保護;
宣揚色情;
引入黃毒;
卸載過程中,欺騙保留未經用戶許可的模塊,交叉修復;
自動感染、自動傳播、隱藏自身、占用系統資源、幹擾用戶上網活動、直接或間接將不良數據帶入系統、極難清除、通過各種渠道自動加載...具有完整的病毒特征;
提供不良內容下載...
3.3721和互聯網助手對國家安全和文化導向的影響
從勤儉節約到頹廢音樂的和平演變,我們只需要3721;
瓦解人民的鬥誌,只需要3721;
在國內要占領宣傳陣地,用3721就行;
要主宰中國的網絡安全命脈,只需要掌握3721;
改變中國網民的文化取向,只需要3721;
要對中國發動網絡癱瘓戰,只要通過3721!
…………
這壹切,3721都做到了,而且做得很好!