(轉(zhuǎn)貼)

全面剖析雅虎助手以及網(wǎng)絡(luò)實名的流氓行徑

馬云走馬上任之后,推出了雅虎助手,本來以為雅虎助手和以前的3721上網(wǎng)助手能有一些不同,細(xì)細(xì)分析起來,流氓習(xí)氣有過之而無不及,全面揭露,觸目驚心! 雅虎助手真的能夠卸載干凈嗎? 網(wǎng)絡(luò)實名真的僅僅是一個中文上網(wǎng)這么簡單嗎? 雅虎助手對網(wǎng)絡(luò)甚至對國家安全的危害僅僅是您目前所認(rèn)識到的嗎?

雅虎助手自稱的“詳細(xì)技術(shù)情況”真的給您知情權(quán)了嗎? 雅虎助手真的是您的什么“助手”嗎? 雅虎助手作為一種可自動安裝的、普及率極的一種網(wǎng)絡(luò)程序,近年來對之的爭議頗多.本文試圖從安裝、卸載、服務(wù)、系統(tǒng)影響等各個方面列舉系列客觀事實,有關(guān)觀點僅代表筆者個人意見,拿出來與大方之家商榷,相信大家見仁見智各有自己的結(jié)論,同時也希望以此引起有關(guān)部門的注意. 測試環(huán)境:VMWare虛擬機,共享主機連接,以獨立的公網(wǎng)IP地址上網(wǎng);操作系統(tǒng)為Windows XP Pro SP2,默認(rèn)安裝,僅以直接復(fù)制的方式拷貝了測試所必須的文件管理程序Total Commander、注冊表跟蹤工具Advanced Registry Tracer、抓圖工具UltraSnap、打字必須的極點五筆輸入法,未安裝其他任何軟件.

一、雅虎助手安裝剖析

1、安裝推廣由“反復(fù)提示”式為主為轉(zhuǎn)向捆綁為主 自從Windows XP SP2推出加強的安全特性后,以前頻繁出現(xiàn)的雅虎助手安裝提示被進(jìn)行了有效抑制(圖1),因此其推廣安裝方式除傳統(tǒng)的通過瀏覽器植入安裝、直接下載安裝外,又開拓了在某些共享軟件和免費軟件中捆綁的方式進(jìn)行安裝(圖2).新的捆綁安裝方式,雖然有安裝選項,但對于習(xí)慣了“一路回車法”安裝軟件的用戶,被順手裝入系統(tǒng)的可能性極大!

圖1 Windows XP SP2的安全機制給雅虎助手的安裝帶來不便

圖2 通過免費或共享軟件的捆綁并默認(rèn)安裝

2、“一拖三”的安裝方式,偷偷植入另外模塊 如果被安裝上雅虎助手,則實際上同時被植入系統(tǒng)的并非雅虎助手一個程序,而是同時另外被靜默地植入了“網(wǎng)絡(luò)實名”和“雅虎郵箱通”這兩套獨立的程序.

圖3

卸載雅虎助手時,額外植入的兩套程序不會被卸載;卸載每一套程序時,卸載對話框中都添加保留另外模塊的選項,以實現(xiàn)非刻意卸載情況下的自我交叉修復(fù).

3、完善的自我保護(hù)機制 從安裝、保護(hù)、卸載、修復(fù)幾個環(huán)節(jié)來看,各個環(huán)節(jié)環(huán)環(huán)相扣(圖4),任何一環(huán)沒有正確處理,則就無法實現(xiàn)表面的干凈卸載(真正徹底卸載除非手工清理,否則無法實現(xiàn)完全卸載,,后文詳述).

圖4 各個環(huán)節(jié)的保護(hù)機制環(huán)環(huán)相扣,清除不易

二、雅虎助手提供的“貼心”服務(wù)提供剖析

號稱提供各種貼心服務(wù),其服務(wù)項目所標(biāo)示的功能也非常的吸引人.我們對其中幾項進(jìn)行了簡單測試,看看雅虎助手到底提供的是一些什么性質(zhì)、什么質(zhì)量的“服務(wù)”.

1、貼心功能不貼心 不少人看中了雅虎助手的彈出廣告過濾功能.讓我們看看真實情況! 用http://www.kephyr.com/popupkillertest的專業(yè)測試頁面進(jìn)行彈出窗口過濾測試.為避免干擾,先關(guān)閉Windows XP SP2本身的彈出窗口過濾功能(沒有人會說雅虎助手的彈出窗口過濾是依賴Windows XP的SP2相關(guān)功能實現(xiàn)的吧?!). 測試結(jié)果,27項測試中,未能通過的有:第3項、第6項(1、2)、第8項、第9項、第10項、第11項、第12項、第16項、第17項、第20項、第21項、第22項、第24項、第26項、第27項(1、2、3),共計未通過測試的有15項(18種),過濾失敗的項目占整體的55%,失敗的種類占整體的66%(圖5).即按百分制評判,雅虎助手的彈出窗口過濾能力連及格分都沒有撈到! 而啟用Windows XP SP2的彈出窗口過濾功能,或者使用Maxthon等具有彈出窗口過濾功能的第三方瀏覽器,同樣的項目測試結(jié)果就截然不同!具體情況筆者暫不提供,大家可以自己測試對比一下,以便好好體會這位“助手”的能力!

圖5 彈出窗口過濾測試中慘不忍睹的過濾結(jié)果

2、“清理痕跡”清理了誰的痕跡? (圖6)是雅虎助手的“清理痕跡”功能測試.執(zhí)行清理并得到“當(dāng)前沒有網(wǎng)址記錄!”的結(jié)果,但打開瀏覽器的歷史側(cè)邊欄,結(jié)果如何?

圖6“痕跡清理”清理了誰的痕跡?

3、插件管理專家別有私心 打開雅虎助手的插件管理專家,其中僅僅“虛心”地把雅虎相冊(Yahoo!Photo)列了出來;但打開瀏覽器的加載項對話框,雅虎助手和雅虎助手植入的十幾個加載項卻赫然在目(圖7)!別家的插件算插件,自己偷偷植入的眾多玩藝一律不算插件,這是什么邏輯?!

圖7“插件管理專家”對自己植入的垃圾插件視而不見

4、把自己的“雅虎搜索”右鍵菜單視為系統(tǒng)默認(rèn)菜單 再看看“恢復(fù)IE外觀”中的“清理IE右鍵菜單”功能.清理后,報告“沒有可清理的菜單!” 但實際上,在瀏覽器中右擊鼠標(biāo),“雅虎搜索”的雅虎助手附加的菜單項已經(jīng)如同系統(tǒng)默認(rèn)菜單項那樣被保存下來(圖8).

圖8 雅虎助手自動添加的右鍵菜單不算清理對象

5、自欺欺人的“清理IE工具條” 試試“清理IE工具條”的效果如何.清理后,報告“沒有可清理的工具條!”,但I(xiàn)E工具欄上被雅虎助手自動植入的那個帶有掃把圖標(biāo)的工具條和其他幾個按鈕好好的毫發(fā)無損(圖9).難道它自己的這些就不屬于系統(tǒng)之外的第三方工具條嗎?工具欄按鈕清理也是如此.

圖9 雅虎助手自己的工具條不算清理對象

6、IE工具欄“重置”功能不能重置雅虎助手植入的工具欄按鈕 既然雅虎助手拒絕給我干活,那么就用IE本身的功能設(shè)置來恢復(fù)工具欄按鈕吧. 打開自定義工具欄對話框,點擊“重置”,那些被強行植入的按鈕閃動了一下,片刻又立即得到恢復(fù)(圖10).

圖10 系統(tǒng)的基本功能在雅虎助手的作用下已經(jīng)部分失效!

7、對系統(tǒng)穩(wěn)定性的影響 在虛擬機環(huán)境下,直接在瀏覽器地址欄輸入“清華大學(xué)”進(jìn)行搜索,前后測試6次,每次都是立即藍(lán)屏(圖11). 雖然虛擬機環(huán)境與真實環(huán)境可能有一些差異,但虛擬機對內(nèi)存要求較高,系統(tǒng)資源占用較大,據(jù)此我們不能確定在真實系統(tǒng)環(huán)境也是如此,但起碼可以確定,雅虎助手對系統(tǒng)資源的分配肯定存在某種負(fù)面影響(或者是存在某種BUG),在對資源需求較大時,會對系統(tǒng)產(chǎn)生不利影響.

圖11

三、雅虎助手對系統(tǒng)的寫入情況剖析

根據(jù)網(wǎng)絡(luò)實名網(wǎng)站自稱的“詳細(xì)技術(shù)原理”,我們看看真實情況是否如網(wǎng)站上所告知的那樣.圖12是其對用戶告知的內(nèi)容.在隨后的檢測項目中,我們看看它“詳細(xì)”到什么程度,用戶和知情權(quán)體現(xiàn)在什么地方.

圖12 網(wǎng)絡(luò)實名的“詳細(xì)技術(shù)原理”

除了有專門的程序文件夾,雅虎助手還在Windows Downloaded Program Files目錄以隱藏的方式保存其文件以便快速修復(fù);在系統(tǒng)驅(qū)動程序目錄植入驅(qū)動程序文件并保證安全模式(即使你不上網(wǎng)!)也能夠被加載并且不能被直接刪除(圖13、圖14). ①安裝網(wǎng)絡(luò)實名后的文件植入情況: ●Windows Downloaded Program Files目錄被植入37個文件1個文件夾; ●Windows System32 Drivers目錄植入CnMinPK.sys驅(qū)動程序文件. ●Program Files目錄植入目錄名為雅虎助手,共含15個文件和1個文件夾. 共計植入53個文件和2個子文件夾. ②安裝雅虎助手后的文件植入情況: ●Windows Downloaded Program Files目錄被植入30個文件1個文件夾; ●Windows System32 Drivers目錄植入CnMinPK.sys驅(qū)動程序文件. ●Program Files目錄植入目錄名為雅虎助手,共含79個文件和7個文件夾. 共計植入114個文件和9個子文件夾.

1、向系統(tǒng)植入的文件

圖13 以驅(qū)動方式植入系統(tǒng),安全模式也能生效


圖14 Windows資源管理器中無法查看的隱藏文件和目錄

2、寫入的注冊表項目 據(jù)安裝前后的注冊表導(dǎo)出比較后得出的不完全統(tǒng)計,系統(tǒng)注冊表被寫入的內(nèi)容大致如下(因瀏覽網(wǎng)頁等操作會導(dǎo)致動態(tài)修改,因此可能會有一些誤差): 安裝網(wǎng)絡(luò)實名后,注冊表中被寫入122個鍵項、408個鍵值; 安裝雅虎助手后,注冊表中被寫入251個鍵項、656個鍵值. 遺憾的是,按正確的方法卸載、重啟后注冊表項目仍然無法全部被清除!

3、多種途徑實現(xiàn)的自動加載項 網(wǎng)絡(luò)實名和雅虎助手聲明以標(biāo)準(zhǔn)系統(tǒng)接口實現(xiàn)自動加載,而且將這些標(biāo)準(zhǔn)接口利用得淋漓盡致! ⑴雅虎助手在注冊表HLM下面的Run鍵項中添加CnsMin、helper.dll、MiniMsgr、yassistse、YLive等多個自動加載模塊,而且卸載、重啟后仍然存在(圖15); ⑵通過驅(qū)動程序模式加載CnMinPK.sys模塊,實現(xiàn)進(jìn)程隱藏,并且通過系統(tǒng)本身的Msconfig無法檢測; ⑶通過其多個模塊之間的相互修復(fù)和守護(hù)實現(xiàn),實現(xiàn)交叉安裝、修復(fù)、加載; ⑷通過嵌入瀏覽器幫助對象,實現(xiàn)功能的自動加載; ⑸通過各模塊卸載對話框中的修復(fù)選項,誘導(dǎo)用戶在卸載某個模塊的同時,修復(fù)和自動加載另一些模塊; ⑹通過捆綁到某些第三方安裝程序,在安裝過程中實現(xiàn)自動安裝和自動加載.

圖15 卸載后仍然自動重啟的模塊

4、 自我守護(hù)的進(jìn)程 如圖16,安裝雅虎助手后,任務(wù)列表中會存在三個進(jìn)程,其中以Rundll32.exe顯示的兩個進(jìn)程可以實現(xiàn)自動交叉修復(fù),即一個進(jìn)程是另外一個進(jìn)程的守護(hù)進(jìn)程.因此,使用Windows任務(wù)管理器是無法順利將它們從內(nèi)存中關(guān)閉的,這點相信多數(shù)人深有體會!

圖16 創(chuàng)建多個進(jìn)程并且可自我守護(hù)

5、 植入系統(tǒng)的瀏覽器加載項 圖17是雅虎助手自動植入系統(tǒng)中的多個瀏覽器加載項.用戶的瀏覽器成為幾大公司發(fā)財?shù)呢斣椿?余下的就差沒有拿著刀子上門直接搶錢了.

圖17
6、自動植入瀏覽器工具欄的多種無關(guān)按鈕 呵呵,安裝后,瀏覽器上什么Yahoo!等亂七八糟的按鈕一股腦兒給你安裝上了,甚至連資源管理器也沒有放過.

7、控制面板添加刪除程序列表中的多余項目 在未被明確告知的情況下,安裝雅虎助手后,控制面板的添加刪除程序列表中會額外加入兩個程序項目.

8、植入系統(tǒng)的系統(tǒng)服務(wù)表 使用IceSword這款安全工具檢測系統(tǒng)服務(wù)描述表(SSDT),可以發(fā)現(xiàn)除Ntoskrnl.exe這個系統(tǒng)內(nèi)核外,就是網(wǎng)絡(luò)實名和雅虎助手的“CnsMinKP.sys”了.搞編程的人知道這做到了什么級別,普通網(wǎng)民反正“眼不見為凈”.可見功夫真的下到了家了!(圖18)


9、自動創(chuàng)建的線程情況 從圖可以看出,雅虎助手及其模塊自動創(chuàng)建的線程數(shù)之多,在系統(tǒng)總體線程數(shù)的比例上是多得令人吃驚的!該圖為未打開任何瀏覽器以及其他相關(guān)窗口情況下的線程創(chuàng)建情況(部分需滾動才能查看)(圖19)


10、后臺運行的消息鉤子 有興趣的人可以看看圖中的鉤子類型,看看雅虎助手利用的大量鉤子函數(shù)在干些什么.(圖20)


11、植入瀏覽器右鍵菜單的“雅虎搜索”菜單項 (圖21):


12、雅虎助手yassist4.exe打開本地1028端口,作用不明(圖22)


13、植入Internet選項設(shè)置 圖是植入到Internet選項的“高級”設(shè)置的內(nèi)容.看看,還有“自動升級”功能呢,有什么新的手段或主意了,再在您的系統(tǒng)中試試?(圖23)

四、網(wǎng)絡(luò)實名及雅虎助手卸載情況剖析

有人在網(wǎng)卡撰文說雅虎助手現(xiàn)在可以通過其卸載程序干凈地卸載了.事實情況真的是這樣嗎?請看——

1、“完全刪除”和“完全卸載”的卸載承諾 如圖,無論網(wǎng)絡(luò)實名還是雅虎助手,在卸載程序中都承諾“把雅虎助手從電腦中完全刪除”和“完全卸載實名插件并關(guān)閉實名功能”. 卸載界面的承諾(圖24)


2、完全卸載不完全 雅虎助手卸載成功并重啟后,在資源管理器中無法看到Windows Downloaded Program Files文件夾中有任何文件(即使你將資源管理器設(shè)置為顯示所有文件、顯示系統(tǒng)文件).但使用著名的Total Commander文件管理器,卻發(fā)現(xiàn)有一個zsmod.dll的隱藏文件! 雅虎助手卸載重啟后資源管理器無法看到的隱藏文件(圖25)


如果是卸載雅虎助手,卸載成功并重啟后,上述目錄居然隱藏有30個文件1個文件夾! 雅虎助手卸載重啟后系統(tǒng)目錄中隱藏的大量文件(Windows資源管理器無法以任何方式查看到,Total Commander可顯示)(圖26)


以zsmod.dll為關(guān)鍵字在注冊表編輯器中搜索,可以發(fā)現(xiàn)這個文件并非是一個被“遺忘”的死文件,而是有相應(yīng)的注冊表鍵值! 卸載重啟后注冊表中的保留鍵值(圖27)


卸載雅虎助手成功并重啟后,檢測BHO(瀏覽器幫助對象),發(fā)現(xiàn)系統(tǒng)中仍然保留有YDT和CnsHook.dll這兩個BHO對象! 卸載重啟后仍然被保留的瀏覽器幫助對象模塊:(圖28)


卸載雅虎助手成功并重啟后,檢測自動加載項目,發(fā)現(xiàn)仍然存在helper.dll、YDTMain.exe、CnsMin三個自動加載的程序項目!(圖29)


再檢測系統(tǒng)已經(jīng)加載的內(nèi)核模塊,發(fā)現(xiàn)以驅(qū)動形式加載的CnsMinKP.sys仍然被成功加載!(圖30)


以CnsMinKP.sys在注冊表編輯器中搜索,卸載成功并重啟后注冊表中仍然保留CnsMinKP.sys的3處隱藏服務(wù)鍵值(圖31),使得卸載操作完全是一個騙局,其基本功能根本沒有受到影響,至多是那個一般情況下顯示在系統(tǒng)托盤的可以向用戶提供“服務(wù)”的小圖標(biāo)不見了!當(dāng)然,系統(tǒng)Drivers目錄中的CnsMinKP.sys文件依然完好,沒有受到任何破壞!

(圖31)

看看系統(tǒng)進(jìn)程如何.如圖,相互守護(hù)的Rundll32.exe共3個進(jìn)程仍然靜靜地在那兒! 由此可見,上述就是所謂的“把雅虎助手從電腦中完全刪除”的真相! 真的想把它們徹底清除嗎?可以,手工在添加刪除程序列表中把另外未被告知的兩個雅虎助手強行安裝的程序一一卸載(卸載時注意看清楚相關(guān)選項!否則可能又相互修復(fù)),此時絕大多數(shù)文件和注冊表被清除.但Windows Downloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關(guān)的注冊表鍵值卻永遠(yuǎn)不會被清除!(圖32)


3、額外安裝的兩個模塊必須另行卸載 圖33就是安裝時未被明確告知就強行安裝的、需要我們手工卸載的垃圾程序.(圖33)


4、 卸載過程中仍然試圖交叉修復(fù) 卸載這些額外程序模塊的過程中,存在默認(rèn)被選中的以“卸載”二字開頭的一個選項: “卸載網(wǎng)絡(luò)實名后保留上網(wǎng)助手等按鈕” 如果你操作中只看了前面半句,以為是選擇了“卸載”它們,那你就錯了! 由此可見雅虎對用戶的心理和電腦使用習(xí)慣研究得非常透徹,能夠利用的都充分利用了!(圖34)

五、雅虎助手綜合行為的法律、道德剖析

1、雅虎助手及雅虎助手的道德層面剖析
    未經(jīng)明確告知,強行植入其他程序模塊. 通過系統(tǒng)驅(qū)動的方式加載,安全模式亦無法避免.就連Windows都將帶網(wǎng)絡(luò)連接的安全模式作為一個單獨的項目提供給用戶,而雅虎助手則是青紅皂白,不管用戶是否使用網(wǎng)絡(luò),一律加載沒商量!

2、雅虎助手及雅虎助手的法律層面剖析
    額外安裝程序侵犯知情權(quán); 卸載卸載過程中以欺騙的手段保留未經(jīng)用戶許可的模塊,而且相互交叉修復(fù); 自動感染、自動繁植、隱藏自身、占用系統(tǒng)資源、干擾用戶上網(wǎng)活動、直接或間接向系統(tǒng)中帶入不良數(shù)據(jù)、清除極其困難、通過多種途徑自動加載……已經(jīng)具有完整的病毒特征;

3、雅虎助手及雅虎助手對國家安全及文化導(dǎo)向的影響
    由艱苦奮斗勤儉建國轉(zhuǎn)向靡靡之音聲色犬馬的和平演變,只需借助雅虎助手; 瓦解民眾斗志,只需雅虎助手; 占領(lǐng)中國的宣傳陣地,只需利用雅虎助手; 主導(dǎo)中國的網(wǎng)絡(luò)安全命脈,只需掌握雅虎助手; 轉(zhuǎn)變中國網(wǎng)民的文化導(dǎo)向,只需借助雅虎助手; 對中國發(fā)動網(wǎng)絡(luò)癱瘓戰(zhàn),只需通過雅虎助手! 所有這些,雅虎助手已經(jīng)在做了,而且做得很好!