2、写入的注册表项目
据安装前后的注册表导出比较后得出的不完全统计,系统注册表被写入的内容大致如下(因浏览网页等操作会导致动态修改,因此可能会有一些误差):
安装3721后,注册表中被写入122个键项、408个键值;
安装上网助手后,注册表中被写入251个键项、656个键值。
遗憾的是,按正确的方法卸载、重启后注册表项目仍然无法全部被清除!
3、多种途径实现的自动加载项
3721声明以标准系统接口实现自动加载,而且将这些标准接口利用得淋漓尽致!
⑴上网助手在注册表HLM下面的Run键项中添加helper.dll、YDTMain.exe、CnsMin三个自动加载模块,而且卸载、重启后仍然存在(图20);
⑵通过驱动程序模式加载CnMinPK.sys模块,实现进程隐藏,并且通过系统本身的Msconfig无法检测;
⑶通过其多个模块之间的相互修复和守护实现,实现交叉安装、修复、加载;
⑷通过嵌入浏览器帮助对象,实现功能的自动加载;
⑸通过各模块卸载对话框中的修复选项,诱导用户在卸载某个模块的同时,修复和自动加载另一些模块;
⑹通过捆绑到某些第三方安装程序,在安装过程中实现自动安装和自动加载。
图 20 卸载后仍然自动重启的模块
