希望大家能看清3721的面目(一)

本文摘自"龙族联盟"
3721作为一种可自动安装的、普及率极广的一种网络程序,近年来对之的争议颇多。本文试图从安装、卸载工、服务、系统影响等各个方面列举系列客观事实,有关观点仅代表笔者个人意见,拿出来与大方之家商榷,相信大家见仁见智各有自己的结论,同时也希望以此引起有关部门的注意。
测试环境:VMWare虚拟机,共享主机连接,以独立的公网IP 地址上网;操作系统为Windows XP Pro SP2,默认安装,仅以直接复制的方式拷贝了测试所必须的文件管    理程序Total Commander、注册表跟踪工具Advanced Registry Tracer、抓图工具UltraSnap、打字必须的极点五笔输入法,未安装其他任何软件。另外,部分图片为节省篇幅采用了以重叠的方式显示多幅图片内容。
一、3721安装剖析
1、安装推广由“反复提示”式为主为转向捆绑为主
自从Windows XP SP2推出加强的安全特性后,以前频繁出现的3721安装提示被进行了有效抑制(图1),因此其推广安装方式除传统的通过浏览器植入安装、直接下载安装外,又开拓了在某些共享软件和免费软件中捆绑的方式进行安装(图2)。新的捆绑安装方式,虽然有安装选项,但对于习惯了“一路回车法”安装软件的用户,被顺手装入系统的可能性极大!

图 1 Windows XP SP2的安全机制给3721的安装带来不便

图 2  通过免费或共享软件的捆绑并默认安装
2、“一拖三”的安装方式,偷偷植入另外模块
如果被安装上上网助手,则实际上同时被植入系统的并非上网助手一个程序,而是同时另外被静默地植入了“地址栏搜索”和“搜索助手”这两套独立的程序(图3)。
卸载上网助手时,额外植入的两套程序不会被卸载;卸载每一套程序时,卸载对话框中都添加保留另外模块的选项,以实现非刻意卸载情况下的自我交叉修复。

图 3
3、完善的自我保护机制
从安装、保护、卸载、修复几个环节来看,各个环节环环相扣(图4),任何一环没有正确处理,则就无法实现表面的干净卸载(真正彻底卸载除非手工清理,否则无法实现完全卸载,,后文详述)。

图 4  各个环节的保护机制环环相扣,清除不易
二、3721及上网助手提供的“贴心”服务提供剖析
号称提供各种贴心服务,其服务项目所标示的功能也非常的人。我们对其中几项进行了简单测试,看看3721到底提供的是一些什么性质、什么质量的“服务”。
1、黄毒横行触目惊心
安装3721中上网助手后,浏览器浏览器地址栏被无告知地植入20多项URL列表,其内容不外乎:性、娱乐、赚钱等几方面有关(图5)。
从其强行植入的地址栏URL列表来看,安装了3721或上网助手的电脑就不折不扣地成了一台“少儿不宜”的电脑电脑!
看看其强行植入的“美女如云——15亿图片心情体验”链接,随意点击几个链接,结果如图6,什么“裸体”、“自拍”、“三级明星电影”、“诱惑放荡的少妇”、“宾馆偷房”、“无限激情”……等不堪入目的字眼扑面而来!
如果说具体的内容提供与其他合作方有关系,那么看看3721推荐的“美女如云——15亿图片心情体验”的主页面,什么“波霸”、“A片”的类别项目赫然在目(图7)。
再看看3721推荐提供的“极速宽频影院”(图8)。“性的日记”、“姐妹情色”、“村妓”、“偷情家族”等占据了内容目录的绝大部分,您能够从中找到哪怕一丁点健康、积极、向上的内容吗?!
这就是3721和上网助手提供的服务中的内容品味的冰山一角。

图 5  自动植入的浏览器浏览器地址栏URL列表

图 6  自动植入浏览器地址历史中的链接内容之一

图 7  自动植入浏览器地址栏历史链接的部分内容之二

图 8  自动植入浏览器地址栏历史链接的部分内容之三
2、“网络钓鱼”炉火纯青
除了上述明目张胆的色情(公开传播的内容中那些不是色情还有是色情?)宣传推广,其还采用了一种诱惑点击的网络钓鱼方法:以“免费电影”为幌子,播放器上覆盖广告,用户点击播放器时将触发对广告的点击(图9)。
此种诱惑点击的手段仅仅是一种方式。有了这种“先进的”方式,还有什么事情不能做呢?

图 9  自动植入浏览器地址栏历史链接中打开的免费电影(网络钓鱼:以一Flash广告与播放按钮重叠的方式,诱惑用户点击。这里设置不显示Flash以暴露其重叠的框架结构)
3、贴心功能不贴心
不少人看中了上网助手的弹出广告过滤功能。让我们看看真实情况!

[url=http://secu.hfut.edu.cn/admin/http://www.kephyr.com/popupkillertest" target=_blank>
http://www.kephyr.com/popupkillertest>http://www.kephyr.com/popupkillertest
[/url]
>的专业测试页面进行弹出窗口过滤测试。为避免干扰干扰,先关闭Windows XP SP2本身的弹出窗口过滤功能(没有人会说上网助手的弹出窗口过滤是依赖Windows XP 的SP2相关功能实现的吧?!)。
测试结果,27项测试中,未能通过的有:第3 项、第6项(1、2)、第8项、第9项、第10项、第11项、第12项、第16项、第17项、第20项、第21项、第22项、第24项、第26项、第27项(1、2、3),共计未通过测试的有15项(18种),过滤失败的项目占整体的55%,失败的种类占整体的66%(图10)。即按百分制评判,上网助手的弹出窗口过滤能力连及格分都没有捞到!
而启用Windows XP SP2的弹出窗口过滤功能,或者使用Maxthon等具有弹出窗口过滤功能的第三方浏览器,同样的项目测试结果就截然不同!具体情况笔者暂不提供,大家可以自己测试对比一下,以便好好体会这位上网“助手”的能力!

图 10  弹出窗口过滤测试中惨不忍睹的过滤结果
4、“清理痕迹”清理了谁的痕迹?
图11是上网助手的“清理痕迹”功能测试。执行清理并得到“当前没有网址记录!”的结果,但打开浏览器的历史侧边栏,结果如何?

图 11  “痕迹清理”清理了谁的痕迹?
5、插件管理专家别有私心
打开上网助手的插件管理专家,其中仅仅“虚心”地把搜索助手列了出来;但打开浏览器的加载项对话框,3721和上网助手植入的十几个加载项却赫然在目(图12)!别家的插件算插件,自己偷偷植入的众多玩艺一律不算插件,这是什么逻辑?!

图 12  “插件管理专家”对自己植入的垃圾插件视而不见
6、把自己的“搜一搜”右键菜单视为系统默认菜单
再看看“恢复IE外观”中的“清理IE右键菜单”功能。清理后,报告“没有可清理的菜单!”
但实际上,在浏览器中右击鼠标,“!搜一搜”的3721附加的菜单项已经如同系统默认菜单项那样被保存下来(图13)。令人不解的是,“!搜一搜”这种表达方式不知在中国语言学中算是一种什么手法?

图 13  3721自动添加的右键菜单不算清理对象
7、自欺欺人的“清理IE工具条”
试试“清理IE工具条”的效果如何。清理后,报告“没有可清理的工具条!”,但IE工具栏上被3721自动植入的那个带有扫把图标的工具条和其他几个按钮好好的毫发无损(图14)。难道它自己的这些就不属于系统之外的第三方工具条吗?工具栏按钮清理也是如此。

图 14  清理IE工具条结果
8、IE 工具栏“重置”功能不能重置3721植入的工具栏按钮
既然上网助手拒绝给我干活,那么就用IE本身的功能设置来恢复工具栏按钮吧。
打开自定义工具栏对话框,点击“重置”,那些被强行植入的按钮闪动了一下,片刻又立即得到恢复(图15)。
系统的基本功能在3721的作用下已经部分失效!

图 15  “重置”工具栏按钮后的效果
9、对系统稳定性的影响
在虚拟机环境下,直接在浏览器地址栏输入“合工大”进行搜索,前后测试6次,每次都是立即蓝屏(图16)。
虽然虚拟机环境与真实环境可能有一些差异,但虚拟机对内存要求较高,系统资源占用较大,据此我们不能确定在真实系统环境也是如此,但起码可以确定,搜索助手对系统资源的分配肯定存在某种负面影响(或者是存在某种BUG),在对资源需求较大时,会对系统产生不利影响。

图 16  半个工作日的搜索测试中系统蓝屏6次
三、3721对系统的写入情况剖析
根据网络实名网站自称的“详细技术原理”,我们看看真实情况是否如网站上所告知的那样。图17是其对用户告知的内容。在随后的检测项目中,我们看看它“详细”到什么程度,用户和知情权体现在什么地方。

图 17  网络实名的“详细技术原理”
1、向系统植入的文件
除了有专门的程序文件夹,3721还在WindowsDownloaded Program Files目录以隐藏的方式保存其文件以便快速修复;在系统驱动程序目录植入驱动程序文件并保证安全模式(即使你不上网!)也能够被加载并且不能被直接删除(图18、图19)。
①安装3721后的文件植入情况:
●    WindowsDownloaded Program Files目录被植入37个文件1个文件夹;
●    WindowsSystem32Drivers目录植入CnMinPK.sys驱动程序文件。
●    Program Files目录植入目录名为3721,共含15个文件和1个文件夹。
共计植入53个文件和2个子文件夹。
②安装上网助手后的文件植入情况:
●    WindowsDownloaded Program Files目录被植入30个文件1个文件夹;
●    WindowsSystem32Drivers目录植入CnMinPK.sys驱动程序文件。
●    Program Files目录植入目录名为3721,共含79个文件和7个文件夹。
●    Program Files目录植入目录名为YDT,共含4个文件和1个文件夹。
共计植入114个文件和9个子文件夹。

图 18  以驱动方式植入系统,安全模式也能生效

图 19  Windows资源管理器中无法查看的隐藏文件和目录
最后编辑2005-07-01 14:56:11