全面剖析雅虎助手以及网络实名的流氓行径(4)

王朝other·作者佚名  2006-01-10
窄屏简体版  字體: |||超大  

三、雅虎助手对系统的写入情况剖析

根据网络实名网站自称的“详细技术原理”,我们看看真实情况是否如网站上所告知的那样。图12是其对用户告知的内容。在随后的检测项目中,我们看看它“详细”到什么程度,用户和知情权体现在什么地方。

图12 网络实名的“详细技术原理

除了有专门的程序文件夹,雅虎助手还在Windows Downloaded Program Files目录以隐藏的方式保存其文件以便快速修复;在系统驱动程序目录植入驱动程序文件并保证安全模式(即使你不上网!)也能够被加载并且不能被直接删除(图13、图14)。

①安装网络实名后的文件植入情况:

●Windows Downloaded Program Files目录被植入37个文件1个文件夹;

●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。

●Program Files目录植入目录名为雅虎助手,共含15个文件和1个文件夹。

共计植入53个文件和2个子文件夹。

②安装雅虎助手后的文件植入情况:

●Windows Downloaded Program Files目录被植入30个文件1个文件夹;

●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。

●Program Files目录植入目录名为雅虎助手,共含79个文件和7个文件夹。

共计植入114个文件和9个子文件夹。

图13 以驱动方式植入系统,安全模式也能生效

1、向系统植入的文件

2、 图14 Windows资源管理器中无法查看的隐藏文件和目录

、写入的注册表项目

据安装前后的注册表导出比较后得出的不完全统计,系统注册表被写入的内容大致如下(因浏览网页等操作会导致动态修改,因此可能会有一些误差):

安装网络实名后,注册表中被写入122个键项、408个键值;

安装雅虎助手后,注册表中被写入251个键项、656个键值。

遗憾的是,按正确的方法卸载、重启后注册表项目仍然无法全部被清除!

3、多种途径实现的自动加载项

网络实名和雅虎助手声明以标准系统接口实现自动加载,而且将这些标准接口利用得淋漓尽致!

⑴雅虎助手在注册表HLM下面的Run键项中添加CnsMin、helper.dll、MiniMsgr、yassistse、YLive等多个自动加载模块,而且卸载、重启后仍然存在(图15);

⑵通过驱动程序模式加载CnMinPK.sys模块,实现进程隐藏,并且通过系统本身的Msconfig无法检测;

⑶通过其多个模块之间的相互修复和守护实现,实现交叉安装、修复、加载;

⑷通过嵌入浏览器帮助对象,实现功能的自动加载;

⑸通过各模块卸载对话框中的修复选项,诱导用户在卸载某个模块的同时,修复和自动加载另一些模块;

⑹通过捆绑到某些第三方安装程序,在安装过程中实现自动安装和自动加载。

图15 卸载后仍然自动重启的模块

全面剖析雅虎助手以及网络实名的流氓行径(1)

全面剖析雅虎助手以及网络实名的流氓行径(2)

全面剖析雅虎助手以及网络实名的流氓行径(3)

全面剖析雅虎助手以及网络实名的流氓行径(5)

全面剖析雅虎助手以及网络实名的流氓行径(6)

全面剖析雅虎助手以及网络实名的流氓行径(7)

全面剖析雅虎助手以及网络实名的流氓行径(8)

全面剖析雅虎助手以及网络实名的流氓行径(9)

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有  導航