(轉(zhuǎn)貼)

全面剖析雅虎助手以及網(wǎng)絡(luò)實(shí)名的流氓行徑

馬云走馬上任之后,推出了雅虎助手,本來(lái)以為雅虎助手和以前的3721上網(wǎng)助手能有一些不同,細(xì)細(xì)分析起來(lái),流氓習(xí)氣有過(guò)之而無(wú)不及,全面揭露,觸目驚心! 雅虎助手真的能夠卸載干凈嗎? 網(wǎng)絡(luò)實(shí)名真的僅僅是一個(gè)中文上網(wǎng)這么簡(jiǎn)單嗎? 雅虎助手對(duì)網(wǎng)絡(luò)甚至對(duì)國(guó)家安全的危害僅僅是您目前所認(rèn)識(shí)到的嗎?

雅虎助手自稱的“詳細(xì)技術(shù)情況”真的給您知情權(quán)了嗎? 雅虎助手真的是您的什么“助手”嗎? 雅虎助手作為一種可自動(dòng)安裝的、普及率極的一種網(wǎng)絡(luò)程序,近年來(lái)對(duì)之的爭(zhēng)議頗多.本文試圖從安裝、卸載、服務(wù)、系統(tǒng)影響等各個(gè)方面列舉系列客觀事實(shí),有關(guān)觀點(diǎn)僅代表筆者個(gè)人意見,拿出來(lái)與大方之家商榷,相信大家見仁見智各有自己的結(jié)論,同時(shí)也希望以此引起有關(guān)部門的注意. 測(cè)試環(huán)境:VMWare虛擬機(jī),共享主機(jī)連接,以獨(dú)立的公網(wǎng)IP地址上網(wǎng);操作系統(tǒng)為Windows XP Pro SP2,默認(rèn)安裝,僅以直接復(fù)制的方式拷貝了測(cè)試所必須的文件管理程序Total Commander、注冊(cè)表跟蹤工具Advanced Registry Tracer、抓圖工具UltraSnap、打字必須的極點(diǎn)五筆輸入法,未安裝其他任何軟件.

一、雅虎助手安裝剖析

1、安裝推廣由“反復(fù)提示”式為主為轉(zhuǎn)向捆綁為主 自從Windows XP SP2推出加強(qiáng)的安全特性后,以前頻繁出現(xiàn)的雅虎助手安裝提示被進(jìn)行了有效抑制(圖1),因此其推廣安裝方式除傳統(tǒng)的通過(guò)瀏覽器植入安裝、直接下載安裝外,又開拓了在某些共享軟件和免費(fèi)軟件中捆綁的方式進(jìn)行安裝(圖2).新的捆綁安裝方式,雖然有安裝選項(xiàng),但對(duì)于習(xí)慣了“一路回車法”安裝軟件的用戶,被順手裝入系統(tǒng)的可能性極大!

圖1 Windows XP SP2的安全機(jī)制給雅虎助手的安裝帶來(lái)不便

圖2 通過(guò)免費(fèi)或共享軟件的捆綁并默認(rèn)安裝

2、“一拖三”的安裝方式,偷偷植入另外模塊 如果被安裝上雅虎助手,則實(shí)際上同時(shí)被植入系統(tǒng)的并非雅虎助手一個(gè)程序,而是同時(shí)另外被靜默地植入了“網(wǎng)絡(luò)實(shí)名”和“雅虎郵箱通”這兩套獨(dú)立的程序.

圖3

卸載雅虎助手時(shí),額外植入的兩套程序不會(huì)被卸載;卸載每一套程序時(shí),卸載對(duì)話框中都添加保留另外模塊的選項(xiàng),以實(shí)現(xiàn)非刻意卸載情況下的自我交叉修復(fù).

3、完善的自我保護(hù)機(jī)制 從安裝、保護(hù)、卸載、修復(fù)幾個(gè)環(huán)節(jié)來(lái)看,各個(gè)環(huán)節(jié)環(huán)環(huán)相扣(圖4),任何一環(huán)沒(méi)有正確處理,則就無(wú)法實(shí)現(xiàn)表面的干凈卸載(真正徹底卸載除非手工清理,否則無(wú)法實(shí)現(xiàn)完全卸載,,后文詳述).

圖4 各個(gè)環(huán)節(jié)的保護(hù)機(jī)制環(huán)環(huán)相扣,清除不易

二、雅虎助手提供的“貼心”服務(wù)提供剖析

號(hào)稱提供各種貼心服務(wù),其服務(wù)項(xiàng)目所標(biāo)示的功能也非常的吸引人.我們對(duì)其中幾項(xiàng)進(jìn)行了簡(jiǎn)單測(cè)試,看看雅虎助手到底提供的是一些什么性質(zhì)、什么質(zhì)量的“服務(wù)”.

1、貼心功能不貼心 不少人看中了雅虎助手的彈出廣告過(guò)濾功能.讓我們看看真實(shí)情況! 用http://www.kephyr.com/popupkillertest的專業(yè)測(cè)試頁(yè)面進(jìn)行彈出窗口過(guò)濾測(cè)試.為避免干擾,先關(guān)閉Windows XP SP2本身的彈出窗口過(guò)濾功能(沒(méi)有人會(huì)說(shuō)雅虎助手的彈出窗口過(guò)濾是依賴Windows XP的SP2相關(guān)功能實(shí)現(xiàn)的吧?!). 測(cè)試結(jié)果,27項(xiàng)測(cè)試中,未能通過(guò)的有:第3項(xiàng)、第6項(xiàng)(1、2)、第8項(xiàng)、第9項(xiàng)、第10項(xiàng)、第11項(xiàng)、第12項(xiàng)、第16項(xiàng)、第17項(xiàng)、第20項(xiàng)、第21項(xiàng)、第22項(xiàng)、第24項(xiàng)、第26項(xiàng)、第27項(xiàng)(1、2、3),共計(jì)未通過(guò)測(cè)試的有15項(xiàng)(18種),過(guò)濾失敗的項(xiàng)目占整體的55%,失敗的種類占整體的66%(圖5).即按百分制評(píng)判,雅虎助手的彈出窗口過(guò)濾能力連及格分都沒(méi)有撈到! 而啟用Windows XP SP2的彈出窗口過(guò)濾功能,或者使用Maxthon等具有彈出窗口過(guò)濾功能的第三方瀏覽器,同樣的項(xiàng)目測(cè)試結(jié)果就截然不同!具體情況筆者暫不提供,大家可以自己測(cè)試對(duì)比一下,以便好好體會(huì)這位“助手”的能力!

圖5 彈出窗口過(guò)濾測(cè)試中慘不忍睹的過(guò)濾結(jié)果

2、“清理痕跡”清理了誰(shuí)的痕跡? (圖6)是雅虎助手的“清理痕跡”功能測(cè)試.執(zhí)行清理并得到“當(dāng)前沒(méi)有網(wǎng)址記錄!”的結(jié)果,但打開瀏覽器的歷史側(cè)邊欄,結(jié)果如何?

圖6“痕跡清理”清理了誰(shuí)的痕跡?

3、插件管理專家別有私心 打開雅虎助手的插件管理專家,其中僅僅“虛心”地把雅虎相冊(cè)(Yahoo!Photo)列了出來(lái);但打開瀏覽器的加載項(xiàng)對(duì)話框,雅虎助手和雅虎助手植入的十幾個(gè)加載項(xiàng)卻赫然在目(圖7)!別家的插件算插件,自己偷偷植入的眾多玩藝一律不算插件,這是什么邏輯?!

圖7“插件管理專家”對(duì)自己植入的垃圾插件視而不見

4、把自己的“雅虎搜索”右鍵菜單視為系統(tǒng)默認(rèn)菜單 再看看“恢復(fù)IE外觀”中的“清理IE右鍵菜單”功能.清理后,報(bào)告“沒(méi)有可清理的菜單!” 但實(shí)際上,在瀏覽器中右擊鼠標(biāo),“雅虎搜索”的雅虎助手附加的菜單項(xiàng)已經(jīng)如同系統(tǒng)默認(rèn)菜單項(xiàng)那樣被保存下來(lái)(圖8).

圖8 雅虎助手自動(dòng)添加的右鍵菜單不算清理對(duì)象

5、自欺欺人的“清理IE工具條” 試試“清理IE工具條”的效果如何.清理后,報(bào)告“沒(méi)有可清理的工具條!”,但I(xiàn)E工具欄上被雅虎助手自動(dòng)植入的那個(gè)帶有掃把圖標(biāo)的工具條和其他幾個(gè)按鈕好好的毫發(fā)無(wú)損(圖9).難道它自己的這些就不屬于系統(tǒng)之外的第三方工具條嗎?工具欄按鈕清理也是如此.

圖9 雅虎助手自己的工具條不算清理對(duì)象

6、IE工具欄“重置”功能不能重置雅虎助手植入的工具欄按鈕 既然雅虎助手拒絕給我干活,那么就用IE本身的功能設(shè)置來(lái)恢復(fù)工具欄按鈕吧. 打開自定義工具欄對(duì)話框,點(diǎn)擊“重置”,那些被強(qiáng)行植入的按鈕閃動(dòng)了一下,片刻又立即得到恢復(fù)(圖10).

圖10 系統(tǒng)的基本功能在雅虎助手的作用下已經(jīng)部分失效!

7、對(duì)系統(tǒng)穩(wěn)定性的影響 在虛擬機(jī)環(huán)境下,直接在瀏覽器地址欄輸入“清華大學(xué)”進(jìn)行搜索,前后測(cè)試6次,每次都是立即藍(lán)屏(圖11). 雖然虛擬機(jī)環(huán)境與真實(shí)環(huán)境可能有一些差異,但虛擬機(jī)對(duì)內(nèi)存要求較高,系統(tǒng)資源占用較大,據(jù)此我們不能確定在真實(shí)系統(tǒng)環(huán)境也是如此,但起碼可以確定,雅虎助手對(duì)系統(tǒng)資源的分配肯定存在某種負(fù)面影響(或者是存在某種BUG),在對(duì)資源需求較大時(shí),會(huì)對(duì)系統(tǒng)產(chǎn)生不利影響.

圖11

三、雅虎助手對(duì)系統(tǒng)的寫入情況剖析

根據(jù)網(wǎng)絡(luò)實(shí)名網(wǎng)站自稱的“詳細(xì)技術(shù)原理”,我們看看真實(shí)情況是否如網(wǎng)站上所告知的那樣.圖12是其對(duì)用戶告知的內(nèi)容.在隨后的檢測(cè)項(xiàng)目中,我們看看它“詳細(xì)”到什么程度,用戶和知情權(quán)體現(xiàn)在什么地方.

圖12 網(wǎng)絡(luò)實(shí)名的“詳細(xì)技術(shù)原理”

除了有專門的程序文件夾,雅虎助手還在Windows Downloaded Program Files目錄以隱藏的方式保存其文件以便快速修復(fù);在系統(tǒng)驅(qū)動(dòng)程序目錄植入驅(qū)動(dòng)程序文件并保證安全模式(即使你不上網(wǎng)!)也能夠被加載并且不能被直接刪除(圖13、圖14). ①安裝網(wǎng)絡(luò)實(shí)名后的文件植入情況: ●Windows Downloaded Program Files目錄被植入37個(gè)文件1個(gè)文件夾; ●Windows System32 Drivers目錄植入CnMinPK.sys驅(qū)動(dòng)程序文件. ●Program Files目錄植入目錄名為雅虎助手,共含15個(gè)文件和1個(gè)文件夾. 共計(jì)植入53個(gè)文件和2個(gè)子文件夾. ②安裝雅虎助手后的文件植入情況: ●Windows Downloaded Program Files目錄被植入30個(gè)文件1個(gè)文件夾; ●Windows System32 Drivers目錄植入CnMinPK.sys驅(qū)動(dòng)程序文件. ●Program Files目錄植入目錄名為雅虎助手,共含79個(gè)文件和7個(gè)文件夾. 共計(jì)植入114個(gè)文件和9個(gè)子文件夾.

1、向系統(tǒng)植入的文件

圖13 以驅(qū)動(dòng)方式植入系統(tǒng),安全模式也能生效


圖14 Windows資源管理器中無(wú)法查看的隱藏文件和目錄

2、寫入的注冊(cè)表項(xiàng)目 據(jù)安裝前后的注冊(cè)表導(dǎo)出比較后得出的不完全統(tǒng)計(jì),系統(tǒng)注冊(cè)表被寫入的內(nèi)容大致如下(因?yàn)g覽網(wǎng)頁(yè)等操作會(huì)導(dǎo)致動(dòng)態(tài)修改,因此可能會(huì)有一些誤差): 安裝網(wǎng)絡(luò)實(shí)名后,注冊(cè)表中被寫入122個(gè)鍵項(xiàng)、408個(gè)鍵值; 安裝雅虎助手后,注冊(cè)表中被寫入251個(gè)鍵項(xiàng)、656個(gè)鍵值. 遺憾的是,按正確的方法卸載、重啟后注冊(cè)表項(xiàng)目仍然無(wú)法全部被清除!

3、多種途徑實(shí)現(xiàn)的自動(dòng)加載項(xiàng) 網(wǎng)絡(luò)實(shí)名和雅虎助手聲明以標(biāo)準(zhǔn)系統(tǒng)接口實(shí)現(xiàn)自動(dòng)加載,而且將這些標(biāo)準(zhǔn)接口利用得淋漓盡致! ⑴雅虎助手在注冊(cè)表HLM下面的Run鍵項(xiàng)中添加CnsMin、helper.dll、MiniMsgr、yassistse、YLive等多個(gè)自動(dòng)加載模塊,而且卸載、重啟后仍然存在(圖15); ⑵通過(guò)驅(qū)動(dòng)程序模式加載CnMinPK.sys模塊,實(shí)現(xiàn)進(jìn)程隱藏,并且通過(guò)系統(tǒng)本身的Msconfig無(wú)法檢測(cè); ⑶通過(guò)其多個(gè)模塊之間的相互修復(fù)和守護(hù)實(shí)現(xiàn),實(shí)現(xiàn)交叉安裝、修復(fù)、加載; ⑷通過(guò)嵌入瀏覽器幫助對(duì)象,實(shí)現(xiàn)功能的自動(dòng)加載; ⑸通過(guò)各模塊卸載對(duì)話框中的修復(fù)選項(xiàng),誘導(dǎo)用戶在卸載某個(gè)模塊的同時(shí),修復(fù)和自動(dòng)加載另一些模塊; ⑹通過(guò)捆綁到某些第三方安裝程序,在安裝過(guò)程中實(shí)現(xiàn)自動(dòng)安裝和自動(dòng)加載.

圖15 卸載后仍然自動(dòng)重啟的模塊

4、 自我守護(hù)的進(jìn)程 如圖16,安裝雅虎助手后,任務(wù)列表中會(huì)存在三個(gè)進(jìn)程,其中以Rundll32.exe顯示的兩個(gè)進(jìn)程可以實(shí)現(xiàn)自動(dòng)交叉修復(fù),即一個(gè)進(jìn)程是另外一個(gè)進(jìn)程的守護(hù)進(jìn)程.因此,使用Windows任務(wù)管理器是無(wú)法順利將它們從內(nèi)存中關(guān)閉的,這點(diǎn)相信多數(shù)人深有體會(huì)!

圖16 創(chuàng)建多個(gè)進(jìn)程并且可自我守護(hù)

5、 植入系統(tǒng)的瀏覽器加載項(xiàng) 圖17是雅虎助手自動(dòng)植入系統(tǒng)中的多個(gè)瀏覽器加載項(xiàng).用戶的瀏覽器成為幾大公司發(fā)財(cái)?shù)呢?cái)源基地.余下的就差沒(méi)有拿著刀子上門直接搶錢了.

圖17
6、自動(dòng)植入瀏覽器工具欄的多種無(wú)關(guān)按鈕 呵呵,安裝后,瀏覽器上什么Yahoo!等亂七八糟的按鈕一股腦兒給你安裝上了,甚至連資源管理器也沒(méi)有放過(guò).

7、控制面板添加刪除程序列表中的多余項(xiàng)目 在未被明確告知的情況下,安裝雅虎助手后,控制面板的添加刪除程序列表中會(huì)額外加入兩個(gè)程序項(xiàng)目.

8、植入系統(tǒng)的系統(tǒng)服務(wù)表 使用IceSword這款安全工具檢測(cè)系統(tǒng)服務(wù)描述表(SSDT),可以發(fā)現(xiàn)除Ntoskrnl.exe這個(gè)系統(tǒng)內(nèi)核外,就是網(wǎng)絡(luò)實(shí)名和雅虎助手的“CnsMinKP.sys”了.搞編程的人知道這做到了什么級(jí)別,普通網(wǎng)民反正“眼不見為凈”.可見功夫真的下到了家了!(圖18)


9、自動(dòng)創(chuàng)建的線程情況 從圖可以看出,雅虎助手及其模塊自動(dòng)創(chuàng)建的線程數(shù)之多,在系統(tǒng)總體線程數(shù)的比例上是多得令人吃驚的!該圖為未打開任何瀏覽器以及其他相關(guān)窗口情況下的線程創(chuàng)建情況(部分需滾動(dòng)才能查看)(圖19)


10、后臺(tái)運(yùn)行的消息鉤子 有興趣的人可以看看圖中的鉤子類型,看看雅虎助手利用的大量鉤子函數(shù)在干些什么.(圖20)


11、植入瀏覽器右鍵菜單的“雅虎搜索”菜單項(xiàng) (圖21):


12、雅虎助手yassist4.exe打開本地1028端口,作用不明(圖22)


13、植入Internet選項(xiàng)設(shè)置 圖是植入到Internet選項(xiàng)的“高級(jí)”設(shè)置的內(nèi)容.看看,還有“自動(dòng)升級(jí)”功能呢,有什么新的手段或主意了,再在您的系統(tǒng)中試試?(圖23)

四、網(wǎng)絡(luò)實(shí)名及雅虎助手卸載情況剖析

有人在網(wǎng)卡撰文說(shuō)雅虎助手現(xiàn)在可以通過(guò)其卸載程序干凈地卸載了.事實(shí)情況真的是這樣嗎?請(qǐng)看——

1、“完全刪除”和“完全卸載”的卸載承諾 如圖,無(wú)論網(wǎng)絡(luò)實(shí)名還是雅虎助手,在卸載程序中都承諾“把雅虎助手從電腦中完全刪除”和“完全卸載實(shí)名插件并關(guān)閉實(shí)名功能”. 卸載界面的承諾(圖24)


2、完全卸載不完全 雅虎助手卸載成功并重啟后,在資源管理器中無(wú)法看到Windows Downloaded Program Files文件夾中有任何文件(即使你將資源管理器設(shè)置為顯示所有文件、顯示系統(tǒng)文件).但使用著名的Total Commander文件管理器,卻發(fā)現(xiàn)有一個(gè)zsmod.dll的隱藏文件! 雅虎助手卸載重啟后資源管理器無(wú)法看到的隱藏文件(圖25)


如果是卸載雅虎助手,卸載成功并重啟后,上述目錄居然隱藏有30個(gè)文件1個(gè)文件夾! 雅虎助手卸載重啟后系統(tǒng)目錄中隱藏的大量文件(Windows資源管理器無(wú)法以任何方式查看到,Total Commander可顯示)(圖26)


以zsmod.dll為關(guān)鍵字在注冊(cè)表編輯器中搜索,可以發(fā)現(xiàn)這個(gè)文件并非是一個(gè)被“遺忘”的死文件,而是有相應(yīng)的注冊(cè)表鍵值! 卸載重啟后注冊(cè)表中的保留鍵值(圖27)


卸載雅虎助手成功并重啟后,檢測(cè)BHO(瀏覽器幫助對(duì)象),發(fā)現(xiàn)系統(tǒng)中仍然保留有YDT和CnsHook.dll這兩個(gè)BHO對(duì)象! 卸載重啟后仍然被保留的瀏覽器幫助對(duì)象模塊:(圖28)


卸載雅虎助手成功并重啟后,檢測(cè)自動(dòng)加載項(xiàng)目,發(fā)現(xiàn)仍然存在helper.dll、YDTMain.exe、CnsMin三個(gè)自動(dòng)加載的程序項(xiàng)目!(圖29)


再檢測(cè)系統(tǒng)已經(jīng)加載的內(nèi)核模塊,發(fā)現(xiàn)以驅(qū)動(dòng)形式加載的CnsMinKP.sys仍然被成功加載!(圖30)


以CnsMinKP.sys在注冊(cè)表編輯器中搜索,卸載成功并重啟后注冊(cè)表中仍然保留CnsMinKP.sys的3處隱藏服務(wù)鍵值(圖31),使得卸載操作完全是一個(gè)騙局,其基本功能根本沒(méi)有受到影響,至多是那個(gè)一般情況下顯示在系統(tǒng)托盤的可以向用戶提供“服務(wù)”的小圖標(biāo)不見了!當(dāng)然,系統(tǒng)Drivers目錄中的CnsMinKP.sys文件依然完好,沒(méi)有受到任何破壞!

(圖31)

看看系統(tǒng)進(jìn)程如何.如圖,相互守護(hù)的Rundll32.exe共3個(gè)進(jìn)程仍然靜靜地在那兒! 由此可見,上述就是所謂的“把雅虎助手從電腦中完全刪除”的真相! 真的想把它們徹底清除嗎?可以,手工在添加刪除程序列表中把另外未被告知的兩個(gè)雅虎助手強(qiáng)行安裝的程序一一卸載(卸載時(shí)注意看清楚相關(guān)選項(xiàng)!否則可能又相互修復(fù)),此時(shí)絕大多數(shù)文件和注冊(cè)表被清除.但Windows Downloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關(guān)的注冊(cè)表鍵值卻永遠(yuǎn)不會(huì)被清除!(圖32)


3、額外安裝的兩個(gè)模塊必須另行卸載 圖33就是安裝時(shí)未被明確告知就強(qiáng)行安裝的、需要我們手工卸載的垃圾程序.(圖33)


4、 卸載過(guò)程中仍然試圖交叉修復(fù) 卸載這些額外程序模塊的過(guò)程中,存在默認(rèn)被選中的以“卸載”二字開頭的一個(gè)選項(xiàng): “卸載網(wǎng)絡(luò)實(shí)名后保留上網(wǎng)助手等按鈕” 如果你操作中只看了前面半句,以為是選擇了“卸載”它們,那你就錯(cuò)了! 由此可見雅虎對(duì)用戶的心理和電腦使用習(xí)慣研究得非常透徹,能夠利用的都充分利用了!(圖34)

五、雅虎助手綜合行為的法律、道德剖析

1、雅虎助手及雅虎助手的道德層面剖析
    未經(jīng)明確告知,強(qiáng)行植入其他程序模塊. 通過(guò)系統(tǒng)驅(qū)動(dòng)的方式加載,安全模式亦無(wú)法避免.就連Windows都將帶網(wǎng)絡(luò)連接的安全模式作為一個(gè)單獨(dú)的項(xiàng)目提供給用戶,而雅虎助手則是青紅皂白,不管用戶是否使用網(wǎng)絡(luò),一律加載沒(méi)商量!

2、雅虎助手及雅虎助手的法律層面剖析
    額外安裝程序侵犯知情權(quán); 卸載卸載過(guò)程中以欺騙的手段保留未經(jīng)用戶許可的模塊,而且相互交叉修復(fù); 自動(dòng)感染、自動(dòng)繁植、隱藏自身、占用系統(tǒng)資源、干擾用戶上網(wǎng)活動(dòng)、直接或間接向系統(tǒng)中帶入不良數(shù)據(jù)、清除極其困難、通過(guò)多種途徑自動(dòng)加載……已經(jīng)具有完整的病毒特征;

3、雅虎助手及雅虎助手對(duì)國(guó)家安全及文化導(dǎo)向的影響
    由艱苦奮斗勤儉建國(guó)轉(zhuǎn)向靡靡之音聲色犬馬的和平演變,只需借助雅虎助手; 瓦解民眾斗志,只需雅虎助手; 占領(lǐng)中國(guó)的宣傳陣地,只需利用雅虎助手; 主導(dǎo)中國(guó)的網(wǎng)絡(luò)安全命脈,只需掌握雅虎助手; 轉(zhuǎn)變中國(guó)網(wǎng)民的文化導(dǎo)向,只需借助雅虎助手; 對(duì)中國(guó)發(fā)動(dòng)網(wǎng)絡(luò)癱瘓戰(zhàn),只需通過(guò)雅虎助手! 所有這些,雅虎助手已經(jīng)在做了,而且做得很好!