全面剖析雅虎助手以及网络实名的流氓行径(4)
来源:互联网 发布:tcp端口是什么意思 编辑:程序博客网 时间:2024/05/22 02:07
三、雅虎助手对系统的写入情况剖析
根据网络实名网站自称的“详细技术原理”,我们看看真实情况是否如网站上所告知的那样。图12是其对用户告知的内容。在随后的检测项目中,我们看看它“详细”到什么程度,用户和知情权体现在什么地方。
图12 网络实名的“详细技术原理
除了有专门的程序文件夹,雅虎助手还在Windows Downloaded Program Files目录以隐藏的方式保存其文件以便快速修复;在系统驱动程序目录植入驱动程序文件并保证安全模式(即使你不上网!)也能够被加载并且不能被直接删除(图13、图14)。
①安装网络实名后的文件植入情况:
●Windows Downloaded Program Files目录被植入37个文件1个文件夹;
●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。
●Program Files目录植入目录名为雅虎助手,共含15个文件和1个文件夹。
共计植入53个文件和2个子文件夹。
②安装雅虎助手后的文件植入情况:
●Windows Downloaded Program Files目录被植入30个文件1个文件夹;
●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。
●Program Files目录植入目录名为雅虎助手,共含79个文件和7个文件夹。
共计植入114个文件和9个子文件夹。
图13 以驱动方式植入系统,安全模式也能生效
1、向系统植入的文件
2、 图14 Windows资源管理器中无法查看的隐藏文件和目录
、写入的注册表项目
据安装前后的注册表导出比较后得出的不完全统计,系统注册表被写入的内容大致如下(因浏览网页等操作会导致动态修改,因此可能会有一些误差):
安装网络实名后,注册表中被写入122个键项、408个键值;
安装雅虎助手后,注册表中被写入251个键项、656个键值。
遗憾的是,按正确的方法卸载、重启后注册表项目仍然无法全部被清除!
3、多种途径实现的自动加载项
网络实名和雅虎助手声明以标准系统接口实现自动加载,而且将这些标准接口利用得淋漓尽致!
⑴雅虎助手在注册表HLM下面的Run键项中添加CnsMin、helper.dll、MiniMsgr、yassistse、YLive等多个自动加载模块,而且卸载、重启后仍然存在(图15);
⑵通过驱动程序模式加载CnMinPK.sys模块,实现进程隐藏,并且通过系统本身的Msconfig无法检测;
⑶通过其多个模块之间的相互修复和守护实现,实现交叉安装、修复、加载;
⑷通过嵌入浏览器帮助对象,实现功能的自动加载;
⑸通过各模块卸载对话框中的修复选项,诱导用户在卸载某个模块的同时,修复和自动加载另一些模块;
⑹通过捆绑到某些第三方安装程序,在安装过程中实现自动安装和自动加载。
图15 卸载后仍然自动重启的模块
全面剖析雅虎助手以及网络实名的流氓行径(2)
全面剖析雅虎助手以及网络实名的流氓行径(3)
全面剖析雅虎助手以及网络实名的流氓行径(5)
全面剖析雅虎助手以及网络实名的流氓行径(6)
全面剖析雅虎助手以及网络实名的流氓行径(7)
全面剖析雅虎助手以及网络实名的流氓行径(8)
全面剖析雅虎助手以及网络实名的流氓行径(9)
- 全面剖析雅虎助手以及网络实名的流氓行径(4)
- 全面剖析雅虎助手以及网络实名的流氓行径(1)
- 全面剖析雅虎助手以及网络实名的流氓行径(2)
- 全面剖析雅虎助手以及网络实名的流氓行径(3)
- 全面剖析雅虎助手以及网络实名的流氓行径(5)
- 全面剖析雅虎助手以及网络实名的流氓行径(6)
- 全面剖析雅虎助手以及网络实名的流氓行径(7)
- 全面剖析雅虎助手以及网络实名的流氓行径(8)
- 全面剖析雅虎助手以及网络实名的流氓行径(9)
- 全面剖析雅虎助手以及网络实名的流氓行径
- 细数3721(雅虎助手)两年来的流氓升级史
- MJ0011技术分析:细数3721(雅虎助手)两年来的流氓升级史
- 中医流氓的无耻行径 - 盗用胡锦涛…
- 全面剖析3721及上网助手
- 教你使用Spy++查看软件的流氓行径(talimama/Dandelion.exe)
- msn messager三大流氓行径!
- 金山对雅虎助手的测试报告
- 对付电信、网通流氓行径之技术,现转让!
- VC,BCB,C#,Delphi,Java的委托方案
- 为无LIB的DLL制作LIB函数符号输入库
- 全面剖析雅虎助手以及网络实名的流氓行径(2)
- 在C++中用虚函数及模版实现委托(支持多播)
- 全面剖析雅虎助手以及网络实名的流氓行径(3)
- 全面剖析雅虎助手以及网络实名的流氓行径(4)
- 选择你的RIA方案:Ajax,Flex 还是Applet?
- 测试驱动开发与内存泄漏
- 全面剖析雅虎助手以及网络实名的流氓行径(5)
- C语言高效编程的的四招技巧
- 全面剖析雅虎助手以及网络实名的流氓行径(6)
- 如何防止未经授权地关闭Domino服务器控制台?
- 全面剖析雅虎助手以及网络实名的流氓行径(7)
- 全面剖析雅虎助手以及网络实名的流氓行径(8)