香山叶·阶梯上的脚印

全面剖析3721及上网助手 答案触目惊心- -

                                      

个人非常讨厌3721，不是普通的垃圾。清除半天才清除干净，一肚子火气。

自此，只要有人电脑中毒了等等让我去修复，总会提醒，只要见了3721就不要安装，

比病毒还病毒。

这里仅转贴一小部分，具体可看原地址：

http://pop.pcpop.com/050728/1677355-1.html

－－－－－－－－－－－－－－－－－－－－－－－－

3721真的能够卸载干净吗？
3721真的仅仅是一个中文上网这么简单吗？
3721对网络甚至对国家安全的危害仅仅是您目前所认识到的吗？
3721自称的“详细技术情况”真的给您知情权了吗？
3721上网助手真的是您的什么“助手”吗？
全面揭露  触目惊心！

    3721作为一种可自动安装的、普及率极广的一种网络程序，近年来对之的争议颇多。本文试图从安装、卸载、服务、系统影响等各个方面列举系列客观事实，有关观点仅代表笔者个人意见，拿出来与大方之家商榷，相信大家见仁见智各有自己的结论，同时也希望以此引起有关部门的注意。
    测试环境：VMWare虚拟机，共享主机连接，以独立的公网IP 地址上网；操作系统为Windows XP Pro SP2，默认安装，仅以直接复制的方式拷贝了测试所必须的文件管理程序Total Commander、注册表跟踪工具Advanced Registry Tracer、抓图工具UltraSnap、打字必须的极点五笔输入法，未安装其他任何软件。另外，部分图片为节省篇幅采用了以重叠的方式显示多幅图片内容。

一、3721安装剖析
1、安装推广由“反复提示”式为主为转向捆绑为主
    自从Windows XP SP2推出加强的安全特性后，以前频繁出现的3721安装提示被进行了有效抑制（图1），因此其推广安装方式除传统的通过浏览器植入安装、直接下载安装外，又开拓了在某些共享软件和免费软件中捆绑的方式进行安装（图2）。新的捆绑安装方式，虽然有安装选项，但对于习惯了“一路回车法”安装软件的用户，被顺手装入系统的可能性极大！

图 1  Windows XP SP2的安全机制给3721的安装带来不便

2、写入的注册表项目
    据安装前后的注册表导出比较后得出的不完全统计，系统注册表被写入的内容大致如下（因浏览网页等操作会导致动态修改，因此可能会有一些误差）：

    安装3721后，注册表中被写入122个键项、408个键值；

    安装上网助手后，注册表中被写入251个键项、656个键值。

    遗憾的是，按正确的方法卸载、重启后注册表项目仍然无法全部被清除！
 3、多种途径实现的自动加载项

    3721声明以标准系统接口实现自动加载，而且将这些标准接口利用得淋漓尽致！

⑴上网助手在注册表HLM下面的Run键项中添加helper.dll、YDTMain.exe、CnsMin三个自动加载模块，而且卸载、重启后仍然存在（图20）；

⑵通过驱动程序模式加载CnMinPK.sys模块，实现进程隐藏，并且通过系统本身的Msconfig无法检测；

⑶通过其多个模块之间的相互修复和守护实现，实现交叉安装、修复、加载；

⑷通过嵌入浏览器帮助对象，实现功能的自动加载；

⑸通过各模块卸载对话框中的修复选项，诱导用户在卸载某个模块的同时，修复和自动加载另一些模块；

⑹通过捆绑到某些第三方安装程序，在安装过程中实现自动安装和自动加载。
 


图 20  卸载后仍然自动重启的模块

- 作者： 香山叶 访问统计：　2005年08月1日, 星期一 01:15 加入博采