全面剖析3721及上網助手
作者:合肥工業大學 imxk 發文時間:2005.06.27
3721真的能夠卸載幹凈嗎?
3721真的僅僅是壹個中文上網這麽簡單嗎?
3721對網絡甚至對國家安全的危害僅僅是您目前所認識到的嗎?
3721自稱的“詳細技術情況”真的給您知情權了嗎?
3721上網助手真的是您的什麽“助手”嗎?
全面揭露 觸目驚心!
3721作為壹種可自動安裝的、普及率極廣的壹種網絡程序,近年來對之的爭議頗多。本文試圖從安裝、卸載、服務、系統影響等各個方面列舉系列客觀事實,有關觀點僅代表筆者個人意見,拿出來與大方之家商榷,相信大家見仁見智各有自己的結論,同時也希望以此引起有關部門的註意。
測試環境:VMWare虛擬機,***享主機連接,以獨立的公網IP 地址上網;操作系統為Windows XP Pro SP2,默認安裝,僅以直接復制的方式拷貝了測試所必須的文件管理程序Total Commander、註冊表跟蹤工具Advanced Registry Tracer、抓圖工具UltraSnap、打字必須的極點五筆輸入法,未安裝其他任何軟件。另外,部分圖片為節省篇幅采用了以重疊的方式顯示多幅圖片內容。
壹、3721安裝剖析
1、安裝推廣由“反復提示”式為主為轉向捆綁為主
自從Windows XP SP2推出加強的安全特性後,以前頻繁出現的3721安裝提示被進行了有效抑制(圖1),因此其推廣安裝方式除傳統的通過瀏覽器植入安裝、直接下載安裝外,又開拓了在某些***享軟件和免費軟件中捆綁的方式進行安裝(圖2)。新的捆綁安裝方式,雖然有安裝選項,但對於習慣了“壹路回車法”安裝軟件的用戶,被順手裝入系統的可能性極大!
圖 1 Windows XP SP2的安全機制給3721的安裝帶來不便
圖 2 通過免費或***享軟件的捆綁並默認安裝
2、“壹拖三”的安裝方式,偷偷植入另外模塊
如果被安裝上上網助手,則實際上同時被植入系統的並非上網助手壹個程序,而是同時另外被靜默地植入了“地址欄搜索”和“搜索助手”這兩套獨立的程序(圖3)。
卸載上網助手時,額外植入的兩套程序不會被卸載;卸載每壹套程序時,卸載對話框中都添加保留另外模塊的選項,以實現非刻意卸載情況下的自我交叉修復。
圖 3
3、完善的自我保護機制
從安裝、保護、卸載、修復幾個環節來看,各個環節環環相扣(圖4),任何壹環沒有正確處理,則就無法實現表面的幹凈卸載(真正徹底卸載除非手工清理,否則無法實現完全卸載,,後文詳述)。
圖 4 各個環節的保護機制環環相扣,清除不易
二、3721及上網助手提供的“貼心”服務提供剖析
號稱提供各種貼心服務,其服務項目所標示的功能也非常的人。我們對其中幾項進行了簡單測試,看看3721到底提供的是壹些什麽性質、什麽質量的“服務”。
1、黃毒橫行觸目驚心
安裝3721中上網助手後,瀏覽器瀏覽器地址欄被無告知地植入20多項URL列表,其內容不外乎:性、娛樂、賺錢等幾方面有關(圖5)。
從其強行植入的地址欄URL列表來看,安裝了3721或上網助手的電腦就不折不扣地成了壹臺“少兒不宜”的電腦!
看看其強行植入的“美女如雲——15億圖片心情體驗”鏈接,隨意點擊幾個鏈接,結果(如圖6),什麽“裸體”、“自拍”、“三級明星電影”、“誘惑放蕩的少婦”、“賓館偷房”、“無限激情”……等不堪入目的字眼撲面而來!
如果說具體的內容提供與其他合作方有關系,那麽看看3721推薦的“美女如雲——15億圖片心情體驗”的主頁面,什麽“波霸”、“A片”的類別項目赫然在目(圖7)。
再看看3721推薦提供的“極速寬頻影院”(圖8)。“性的日記”、“姐妹情色”、“村妓”、“偷情家族”等占據了內容目錄的絕大部分,您能夠從中找到哪怕壹丁點健康、積極、向上的內容嗎?!
這就是3721和上網助手提供的服務中的內容品味的冰山壹角。
圖 5 自動植入的瀏覽器瀏覽器地址欄URL列表
圖 6 自動植入瀏覽器地址歷史中的鏈接內容之壹
圖 7 自動植入瀏覽器地址欄歷史鏈接的部分內容之二
圖 8 自動植入瀏覽器地址欄歷史鏈接的部分內容之三
2、“網絡釣魚”爐火純青
除了上述明目張膽的色情(公開傳播的內容中那些不是色情還有是色情?)宣傳推廣,其還采用了壹種誘惑點擊的網絡釣魚方法:以“免費電影”為幌子,播放器上覆蓋廣告,用戶點擊播放器時將觸發對廣告的點擊(圖9)。
此種誘惑點擊的手段僅僅是壹種方式。有了這種“先進的”方式,還有什麽事情不能做呢?
圖 9 自動植入瀏覽器地址欄歷史鏈接中打開的免費電影(網絡釣魚:以壹Flash廣告與播放按鈕重疊的方式,誘惑用戶點擊。這裏設置不顯示Flash以暴露其重疊的框架結構)
3、貼心功能不貼心
不少人看中了上網助手的彈出廣告過濾功能。讓我們看看真實情況!
用/popupkillertest的專業測試頁面進行彈出窗口過濾測試。為避免幹擾幹擾,先關閉Windows XP SP2本身的彈出窗口過濾功能(沒有人會說上網助手的彈出窗口過濾是依賴Windows XP 的SP2相關功能實現的吧?!)。
測試結果,27項測試中,未能通過的有:第3 項、第6項(1、2)、第8項、第9項、第10項、第11項、第12項、第16項、第17項、第20項、第21項、第22項、第24項、第26項、第27項(1、2、3),***計未通過測試的有15項(18種),過濾失敗的項目占整體的55%,失敗的種類占整體的66%(圖10)。即按百分制評判,上網助手的彈出窗口過濾能力連及格分都沒有撈到!
而啟用Windows XP SP2的彈出窗口過濾功能,或者使用Maxthon等具有彈出窗口過濾功能的第三方瀏覽器,同樣的項目測試結果就截然不同!具體情況筆者暫不提供,大家可以自己測試對比壹下,以便好好體會這位上網“助手”的能力!
圖 10 彈出窗口過濾測試中慘不忍睹的過濾結果
4、“清理痕跡”清理了誰的痕跡?
圖11是上網助手的“清理痕跡”功能測試。執行清理並得到“當前沒有網址記錄!”的結果,但打開瀏覽器的歷史側邊欄,結果如何?
圖 11 “痕跡清理”清理了誰的痕跡?
5、插件管理專家別有私心
打開上網助手的插件管理專家,其中僅僅“虛心”地把搜索助手列了出來;但打開瀏覽器的加載項對話框,3721和上網助手植入的十幾個加載項卻赫然在目(圖12)!別家的插件算插件,自己偷偷植入的眾多玩藝壹律不算插件,這是什麽邏輯?!
圖 12 “插件管理專家”對自己植入的垃圾插件視而不見
6、把自己的“搜壹搜”右鍵菜單視為系統默認菜單
再看看“恢復IE外觀”中的“清理IE右鍵菜單”功能。清理後,報告“沒有可清理的菜單!”
但實際上,在瀏覽器中右擊鼠標,“!搜壹搜”的3721附加的菜單項已經如同系統默認菜單項那樣被保存下來(圖13)。令人不解的是,“!搜壹搜”這種表達方式不知在中國語言學中算是壹種什麽手法?
圖 13 3721自動添加的右鍵菜單不算清理對象
7、自欺欺人的“清理IE工具條”
試試“清理IE工具條”的效果如何。清理後,報告“沒有可清理的工具條!”,但IE工具欄上被3721自動植入的那個帶有掃把圖標的工具條和其他幾個按鈕好好的毫發無損(圖14)。難道它自己的這些就不屬於系統之外的第三方工具條嗎?工具欄按鈕清理也是如此。
圖 14 清理IE工具條結果
8、IE 工具欄“重置”功能不能重置3721植入的工具欄按鈕
既然上網助手拒絕給我幹活,那麽就用IE本身的功能設置來恢復工具欄按鈕吧。
打開自定義工具欄對話框,點擊“重置”,那些被強行植入的按鈕閃動了壹下,片刻又立即得到恢復(圖15)。
系統的基本功能在3721的作用下已經部分失效!
圖 15 “重置”工具欄按鈕後的效果
9、對系統穩定性的影響
在虛擬機環境下,直接在瀏覽器地址欄輸入“合工大”進行搜索,前後測試6次,每次都是立即藍屏(圖16)。
雖然虛擬機環境與真實環境可能有壹些差異,但虛擬機對內存要求較高,系統資源占用較大,據此我們不能確定在真實系統環境也是如此,但起碼可以確定,搜索助手對系統資源的分配肯定存在某種負面影響(或者是存在某種BUG),在對資源需求較大時,會對系統產生不利影響。
圖 16 半個工作日的搜索測試中系統藍屏6次
三、3721對系統的寫入情況剖析
根據網絡實名網站自稱的“詳細技術原理”,我們看看真實情況是否如網站上所告知的那樣。圖17是其對用戶告知的內容。在隨後的檢測項目中,我們看看它“詳細”到什麽程度,用戶和知情權體現在什麽地方。
圖 17 網絡實名的“詳細技術原理”
1、向系統植入的文件
除了有專門的程序文件夾,3721還在Windows\Downloaded Program Files目錄以隱藏的方式保存其文件以便快速修復;在系統驅動程序目錄植入驅動程序文件並保證安全模式(即使妳不上網!)也能夠被加載並且不能被直接刪除(圖18、圖19)。
①安裝3721後的文件植入情況:
● Windows\Downloaded Program Files目錄被植入37個文件1個文件夾;
● Windows\System32\Drivers目錄植入CnMinPK.sys驅動程序文件。
● Program Files目錄植入目錄名為3721,***含15個文件和1個文件夾。
***計植入53個文件和2個子文件夾。
②安裝上網助手後的文件植入情況:
● Windows\Downloaded Program Files目錄被植入30個文件1個文件夾;
● Windows\System32\Drivers目錄植入CnMinPK.sys驅動程序文件。
● Program Files目錄植入目錄名為3721,***含79個文件和7個文件夾。
● Program Files目錄植入目錄名為YDT,***含4個文件和1個文件夾。
***計植入114個文件和9個子文件夾。
圖 18 以驅動方式植入系統,安全模式也能生效
圖 19 Windows資源管理器中無法查看的隱藏文件和目錄
2、寫入的註冊表項目
據安裝前後的註冊表導出比較後得出的不完全統計,系統註冊表被寫入的內容大致如下(因瀏覽網頁等操作會導致動態修改,因此可能會有壹些誤差):
安裝3721後,註冊表中被寫入122個鍵項、408個鍵值;
安裝上網助手後,註冊表中被寫入251個鍵項、656個鍵值。
遺憾的是,按正確的方法卸載、重啟後註冊表項目仍然無法全部被清除!
3、多種途徑實現的自動加載項
3721聲明以標準系統接口實現自動加載,而且將這些標準接口利用得淋漓盡致!
⑴上網助手在註冊表HLM下面的Run鍵項中添加helper.dll、YDTMain.exe、CnsMin三個自動加載模塊,而且卸載、重啟後仍然存在(圖20);
⑵通過驅動程序模式加載CnMinPK.sys模塊,實現進程隱藏,並且通過系統本身的Msconfig無法檢測;
⑶通過其多個模塊之間的相互修復和守護實現,實現交叉安裝、修復、加載;
⑷通過嵌入瀏覽器幫助對象,實現功能的自動加載;
⑸通過各模塊卸載對話框中的修復選項,誘導用戶在卸載某個模塊的同時,修復和自動加載另壹些模塊;
⑹通過捆綁到某些第三方安裝程序,在安裝過程中實現自動安裝和自動加載。
圖 20 卸載後仍然自動重啟的模塊
4、自我守護的進程
如圖21,安裝上網助手後,任務列表中會存在三個進程,其中以Rundll32.exe顯示的兩個進程可以實現自動交叉修復,即壹個進程是另外壹個進程的守護進程。因此,使用Windows任務管理器是無法順利將它們從內存中關閉的,這點相信多數人深有體會!
圖 21 創建多個進程並且可自我守護
5、植入系統的瀏覽器加載項
圖22是上網助手自動植入系統中的8種瀏覽器加載項。用戶的瀏覽器成為幾大公司發財的財源基地。余下的就差沒有拿著刀子上門直接搶錢了。
圖 22 壹口氣自動植入8種瀏覽器加載項
6、自動植入瀏覽器工具欄的多種無關按鈕
呵呵,安裝後,瀏覽器上什麽Yahoo!等亂七八糟的按鈕壹股腦兒給妳安裝上了,甚至連資源管理器也沒有放過(圖23,夠貼心的吧)。
圖 23 資源管理器中被強行植入的按鈕
7、控制面板添加刪除程序列表中的多余項目
在未被明確告知的情況下,安裝上網助手後,控制面板的添加刪除程序列表中會額外加入兩個程序項目(圖24)。
圖 24 不知道什麽時候被植入的額外兩個模塊
8、植入系統的系統服務表
使用IceSword這款安全工具檢測系統服務描述表(SSDT),可以發現除Ntoskrnl.exe這個系統內核外,就是3721和上網助手的“CnsMinKP.sys”了。搞編程的人知道這做到了什麽級別,普通網民反正“眼不見為凈”。可見功夫真的下到了家了!
圖 25 通過任務管理器無法查看到的系統服務表
9、自動創建的線程情況
從圖26可以看出,上網助手及其模塊自動創建的線程數之多,在系統總體線程數的比例上是多得令人吃驚的!該圖為未打開任何瀏覽器以及其他相關窗口情況下的線程創建情況(部分需滾動才能查看)。
圖 26 自動創建的線程列表
10、後臺運行的消息鉤子
有興趣的人可以看看圖27中的鉤子類型,看看3721利用的大量鉤子函數在幹些什麽。
圖 27 眾多的消息鉤子
11、植入瀏覽器右鍵菜單的“!搜壹搜”菜單項
呵呵,瀏覽器右鍵菜單中被植入的“!搜壹搜”是不是該倒過來從右向左讀?這個世界的法則是不是也要倒過來解讀(圖28)?
圖 28 瀏覽器右鍵菜單項
12、上網助手Assistse.exe打開本地1028端口
如圖29,上網助手Assistse.exe打開本地UDP 1028端口,作用不明。
圖 29 端口打開情況
13、植入Internet選項設置
圖31是植入到Internet選項的“高級”設置的內容。看看,還有“自動升級”功能呢,有什麽新的手段或主意了,再在您的系統中試試?
圖 31 Internet選項中被植入的內容
四、3721及上網助手卸載情況剖析
有人在網卡撰文說3721現在可以通過其卸載程序幹凈地卸載了。事實情況真的是這樣嗎?請看——
1、“完全刪除”和“完全卸載”的卸載承諾
如圖32,無論3721網絡實名還是上網助手,在卸載程序中都承諾“把上網助手從電腦中完全刪除”和“完全卸載實名插件並關閉實名功能”。
圖 32 卸載界面的承諾
2、完全卸載不完全
網絡實名卸載成功並重啟後,在資源管理器中無法看到Windows\Downloaded Program Files文件夾中有任何文件(即使妳將資源管理器設置為顯示所有文件、顯示系統文件)。但使用著名的Total Commander文件管理器,卻發現有壹個zsmod.dll的隱藏文件(圖33)!如果是卸載上網助手,卸載成功並重啟後,上述目錄居然隱藏有30個文件1個文件夾(圖34)!
以zsmod.dll為關鍵字在註冊表編輯器中搜索,可以發現這個文件並非是壹個被“遺忘”的死文件,而是有相應的註冊表鍵值(圖35)!
卸載上網助手成功並重啟後,檢測BHO(瀏覽器幫助對象),發現系統中仍然保留有YDT.DLL和CnsHook.dll這兩個BHO對象(圖36)!
卸載上網助手成功並重啟後,檢測自動加載項目,發現仍然存在helper.dll、YDTMain.exe、CnsMin三個自動加載的程序項目(圖37)!
再檢測系統已經加載的內核模塊,發現以驅動形式加載的CnsMinKP.sys仍然被成功加載(圖38)!以CnsMinKP.sys在註冊表編輯器中搜索,卸載成功並重啟後註冊表中仍然保留CnsMinKP.sys的3處隱藏服務鍵值(圖39),使得卸載操作完全是壹個騙局,其基本功能根本沒有受到影響,至多是那個壹般情況下顯示在系統托盤的可以向用戶提供“服務”的小圖標不見了!當然,系統Drivers目錄中的CnsMinKP.sys文件依然完好,沒有受到任何破壞!
看看系統進程如何。如圖40,YDTMain.exe、相互守護的Rundll32.exe***3個進程仍然靜靜地在那兒!
由此可見,上述就是所謂的“把上網助手從電腦中完全刪除”的真相!
真的想把它們徹底清除嗎?可以,手工在添加刪除程序列表中把另外未被告知的兩個3721強行安裝的程序壹壹卸載(卸載時註意看清楚相關選項!否則可能又相互修復),此時絕大多數文件和註冊表被清除。但Windows\Downloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關的註冊表鍵值卻永遠不會被清除!
圖 33 3721卸載重啟後資源管理器無法看到的隱藏文件
圖 34 上網助手卸載重啟後系統目錄中隱藏的大量文件(Windows資源管理器無法以任何方式查看到,Total Commander可顯示)
圖 35 卸載重啟後註冊表中的保留鍵值
圖 36 卸載重啟後仍然被保留的瀏覽器幫助對象模塊
圖 37 卸載重啟後仍然被保留的自動加載項目
圖 38 卸載重啟後仍然以驅動模式加載的內核模塊
圖 39 卸載重啟後註冊表中仍然保留的3處隱藏服務鍵值
圖 40 上網助手卸載重啟後仍然在運行的後臺進程和仍然存在的瀏覽器工具欄按鈕
3、額外安裝的兩個模塊必須另行卸載
圖43就是安裝時未被明確告知就強行安裝的、需要我們手工卸載的垃圾程序。
圖 43 額外安裝的兩個模塊必須手工卸載
4、卸載過程中仍然試圖交叉修復
卸載這些額外程序模塊的過程中,存在默認被選中的以“卸載”二字開頭的壹個選項:
“卸載上網助手-地址欄搜索後保留上網助手等按鈕”
如果妳操作中只看了前面半句,以為是選擇了“卸載”它們,那妳就錯了!
由此可見3721的對用戶的心理和電腦使用習慣研究得非常透徹,能夠利用的都充分利用了!
圖 44 卸載過程中仍然試圖交叉修復
五、3721綜合行為的法律、道德剖析
1、3721及上網助手的道德層面剖析
什麽“裸體”、“自拍”、“三級明星電影”、“誘惑放蕩的少婦”、“賓館偷房”、“無限激情”……等褻瀆了廣大網民的情趣品味;對青少年進行了極其不良的誤導引誘;汙染了網絡環境。
未經明確告知,強行植入其他程序模塊。
通過系統驅動的方式加載,安全模式亦無法避免。就連Windows都將帶網絡連接的安全模式作為壹個單獨的項目提供給用戶,而3721則是青紅皂白,不管用戶是否使用網絡,壹律加載沒商量!
2、3721及上網助手的法律層面剖析
額外安裝程序侵犯知情權;
強行植入的少兒不宜的URL鏈接無視青少年權限保護;
宣傳黃毒;
介紹黃毒;
卸載卸載過程中以欺騙的手段保留未經用戶許可的模塊,而且相互交叉修復;
自動感染、自動繁植、隱藏自身、占用系統資源、幹擾用戶上網活動、直接或間接向系統中帶入不良數據、清除極其困難、通過多種途徑自動加載……已經具有完整的病毒特征;
提供不良內容下載……
3、3721及上網助手對國家安全及文化導向的影響
由艱苦奮鬥勤儉建國轉向靡靡之音聲色犬馬的和平演變,只需借助3721;
瓦解民眾鬥誌,只需3721;
占領中國的宣傳陣地,只需利用3721;
主導中國的網絡安全命脈,只需掌握3721;
轉變中國網民的文化導向,只需借助3721;
對中國發動網絡癱瘓戰,只需通過3721!
…………
防火墻的概念
當然,既然打算由淺入深的來了解,就要先看看防火墻的概念了。防火墻是汽車中壹個部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎壹旦著火,防火墻不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網絡中,所謂“防火墻”,是指壹種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是壹種隔離技術。防火墻是在兩個網絡通訊時執行的壹種訪問控制尺度,它能允許妳“同意”的人和數據進入妳的網絡,同時將妳“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問妳的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火墻的功能
防火墻是網絡安全的屏障:
壹個防火墻(作為阻塞點、控制點)能極大地提高壹個內部網絡的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文並通知防火墻管理員。
防火墻可以強化網絡安全策略:
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如在網絡訪問時,壹次壹密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻壹身上。
對網絡存取和訪問進行監控審計:
如果所有的訪問都經過防火墻,那麽,防火墻就能記錄下這些訪問並作出日誌記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,並提供網絡是否受到監測和攻擊的詳細信息。另外,收集壹個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄:
通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,壹個內部網絡中不引人註意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的註冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道壹個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起註意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息,這樣壹臺主機的域名和IP地址就不會被外界所了解。
除了安全作用,防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN(虛擬專用網)。