当上街的警察没有素质--智能实验室.全能优化 竟敢挑衅 卡卡助手?!

刚刚打开外网机器，想升级一下卡卡助手，看看是否被人注入了流氓软件（外网机器为公用机器，流氓软件防不胜防），双击运行卡卡助手时，却跳出了一个叫 “智能实验室.全能优化”的程序，一开始不以为然，以为是别人改了快捷方式，于是双击右下角的卡卡防护程序，咦？跳出的还是那个程序。

左找右找，在该程序的帮助菜单发现了“卸载全能优化”，运行，恩，很顺利，告诉我卸载完成。于是放心的双击卡卡助手图标，但是上帝貌似去了厕所，跳出来的还是那个该死的全能优化，我晕死！！

就是这个流氓

 

看似一个警察，其实是个流氓。。。用的貌似还是重定向劫持技术（也就是臭名昭著的AV终结者使用的伎俩）

没办法，只能把卡卡助手的扩展名改为com，运行，呼~~终于起来了，心里暗自庆幸，这个流氓没有劫持com扩展名的程序。

打开卡卡，的进程管理，果然看到一个进程注入到了exe版的卡卡助手里，如图：

流氓劫持的卡卡助手进程信息

 

结束进程，删除流氓所在文件夹，结果发现，exe版卡卡助手无法启动了（指示的路径明明有这个程序的）：

 

打开注册表发现，HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options键下所有的Debugger键都指向了它自己，而这个键恰恰是重定向技术的关键。仔细查找，发现被修改的程序包括绝大部分杀毒软件、反黑软件，还有诸多系统关键进程。

删除改键下的所有子键，再运行相应程序，关联恢复正常。

 

分析：从以上分析来看，貌似作者想做到这一点，通过重定向劫持技术在运行程序时先启动它自身对该进程进行检查，检查后有没放行（即检查完后调用正确的程序路径以启动真正的程序）姑且不说（可以肯定由于某种原因，该程序选择了撕票），单单就依据文件名来扫描病毒的技术貌似在“木马杀客”时代已经被人笑掉了大牙，而卡卡助手比较点低，使用了rav.exe来作为主程序的名称而不幸被强奸实在是让人哭笑不得。回想，我把文件扩展名改为com就可以逃过追查，顿时感觉该软件是不是太弱智了。

不想再贬斥或者鄙视所谓的那些计算机高手，这个浮躁的社会已经剩不下什么，也需要像股市一样大跌几次打打泡沫了，但尤让人受不了的是对用户的不负责任，殊不知，一个没有素质的警察上街跟流氓没有什么两样，况且用户手中这个脆弱娇滴滴的Windows。

 

 虽然，号称门口摊煎饼的大婶都会做网页，但做出的味道却大相径庭，大婶丢了这个饭碗还会去摊煎饼，可我们丢了职业，煎饼都不会摊...