三、雅虎助手对系统的写入情况剖析
根据网络实名网站自称的“详细技术原理”,我们看看真实情况是否如网站上所告知的那样。图12是其对用户告知的内容。在随后的检测项目中,我们看看它“详细”到什么程度,用户和知情权体现在什么地方。
图12 网络实名的“详细技术原理
除了有专门的程序文件夹,雅虎助手还在Windows Downloaded Program Files目录以隐藏的方式保存其文件以便快速修复;在系统驱动程序目录植入驱动程序文件并保证安全模式(即使你不上网!)也能够被加载并且不能被直接删除(图13、图14)。
①安装网络实名后的文件植入情况:
●Windows Downloaded Program Files目录被植入37个文件1个文件夹;
●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。
●Program Files目录植入目录名为雅虎助手,共含15个文件和1个文件夹。
共计植入53个文件和2个子文件夹。
②安装雅虎助手后的文件植入情况:
●Windows Downloaded Program Files目录被植入30个文件1个文件夹;
●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。
●Program Files目录植入目录名为雅虎助手,共含79个文件和7个文件夹。
共计植入114个文件和9个子文件夹。
图13 以驱动方式植入系统,安全模式也能生效
1、向系统植入的文件
2、 图14 Windows资源管理器中无法查看的隐藏文件和目录
、写入的注册表项目
据安装前后的注册表导出比较后得出的不完全统计,系统注册表被写入的内容大致如下(因浏览网页等操作会导致动态修改,因此可能会有一些误差):
安装网络实名后,注册表中被写入122个键项、408个键值;
安装雅虎助手后,注册表中被写入251个键项、656个键值。
遗憾的是,按正确的方法卸载、重启后注册表项目仍然无法全部被清除!
3、多种途径实现的自动加载项
网络实名和雅虎助手声明以标准系统接口实现自动加载,而且将这些标准接口利用得淋漓尽致!
⑴雅虎助手在注册表HLM下面的Run键项中添加CnsMin、helper.dll、MiniMsgr、yassistse、YLive等多个自动加载模块,而且卸载、重启后仍然存在(图15);
⑵通过驱动程序模式加载CnMinPK.sys模块,实现进程隐藏,并且通过系统本身的Msconfig无法检测;
⑶通过其多个模块之间的相互修复和守护实现,实现交叉安装、修复、加载;
⑷通过嵌入浏览器帮助对象,实现功能的自动加载;
⑸通过各模块卸载对话框中的修复选项,诱导用户在卸载某个模块的同时,修复和自动加载另一些模块;
⑹通过捆绑到某些第三方安装程序,在安装过程中实现自动安装和自动加载。
图15 卸载后仍然自动重启的模块