全面剖析雅虎助手以及网络实名的流氓行径
日期:2007-05-06 荐:
马云走马上任之后,推出了雅虎助手,本来以为雅虎助手和以前的上网助手能有一些不同,细细分析起来,流氓习气有过之而无不及,全面揭露,触目惊心!
雅虎助手真的能够卸载干净吗?
网络实名真的仅仅是一个中文上网这么简单吗?
雅虎助手对网络甚至对国家安全的危害仅仅是您目前所认识到的吗?
雅虎助手自称的“详细技术情况”真的给您知情权了吗?
雅虎助手真的是您的什么“助手”吗?
雅虎助手作为一种可自动安装的、普及率极广的一种网络程序,近年来对之的争议颇多。本文试图从安装、卸载工、服务、系统影响等各个方面列举系列客观事实,有关观点仅代表笔者个人意见,拿出来与大方之家商榷,相信大家见仁见智各有自己的结论,同时也希望以此引起有关部门的注意。
测试环境:VMWare虚拟机,共享主机连接,以独立的公网IP地址上网;操作系统为Windows XP Pro SP2,默认安装,仅以直接复制的方式拷贝了测试所必须的文件管理程序Total Commander、注册表跟踪工具Advanced Registry Tracer、抓图工具UltraSnap、打字必须的极点五笔输入法,未安装其他任何软件。
一、雅虎助手安装剖析
1、安装推广由“反复提示”式为主为转向捆绑为主
自从Windows XP SP2推出加强的安全特性后,以前频繁出现的雅虎助手安装提示被进行了有效抑制,因此其推广安装方式除传统的通过浏览器植入安装、直接下载安装外,又开拓了在某些共享软件和免费软件中捆绑的方式进行安装。新的捆绑安装方式,虽然有安装选项,但对于习惯了“一路回车法”安装软件的用户,被顺手装入系统的可能性极大!
2、“一拖三”的安装方式,偷偷植入另外模块
如果被安装上雅虎助手,则实际上同时被植入系统的并非雅虎助手一个程序,而是同时另外被静默地植入了“网络实名”和“雅虎邮箱通”这两套独立的程序。
卸载雅虎助手时,额外植入的两套程序不会被卸载;卸载每一套程序时,卸载对话框中都添加保留另外模块的选项,以实现非刻意卸载情况下的自我交叉修复。
3、完善的自我保护机制
从安装、保护、卸载、修复几个环节来看,各个环节环环相扣,任何一环没有正确处理,则就无法实现表面的干净卸载(真正彻底卸载除非手工清理,否则无法实现完全卸载,后文详述)
二、雅虎助手提供的“贴心”服务提供剖析
号称提供各种贴心服务,其服务项目所标示的功能也非常的吸引人。我们对其中几项进行了简单测试,看看雅虎助手到底提供的是一些什么性质、什么质量的“服务”。
1、贴心功能不贴心
不少人看中了雅虎助手的弹出广告过滤功能。让我们看看真实情况!
用http://www.kephyr.com/popupkillertest的专业测试页面进行弹出窗口过滤测试。为避免干扰,先关闭Windows XP SP2本身的弹出窗口过滤功能(没有人会说雅虎助手的弹出窗口过滤是依赖Windows XP的SP2相关功能实现的吧?!)。
测试结果,27项测试中,未能通过的有:第3项、第6项(1、2)、第8项、第9项、第10项、第11项、第12项、第16项、第17项、第20项、第21项、第22项、第24项、第26项、第27项(1、2、3),共计未通过测试的有15项(18种),过滤失败的项目占整体的55%,失败的种类占整体的66%。即按百分制评判,雅虎助手的弹出窗口过滤能力连及格分都没有捞到!
而启用Windows XP SP2的弹出窗口过滤功能,或者使用Maxthon等具有弹出窗口过滤功能的第三方浏览器,同样的项目测试结果就截然不同!具体情况笔者暂不提供,大家可以自己测试对比一下,以便好好体会这位“助手”的能力!
2、“清理痕迹”清理了谁的痕迹?
雅虎助手的“清理痕迹”功能测试,执行清理并得到“当前没有网址记录!”,但打开浏览器的历史侧边栏,结果如何?
3、插件管理专家别有私心
打开雅虎助手的插件管理专家,其中仅仅“虚心”地把雅虎相册(Yahoo!Photo)列了出来;但打开浏览器的加载项对话框,雅虎助手和雅虎助手植入的十几个加载项却赫然在目!别家的插件算插件,自己偷偷植入的众多玩艺一律不算插件,这是什么逻辑?!
4、把自己的“雅虎搜索”右键菜单视为系统默认菜单
再看看“恢复IE外观”中的“清理IE右键菜单”功能。清理后,报告“没有可清理的菜单!”
但实际上,在浏览器中右击鼠标,“雅虎搜索”的雅虎助手附加的菜单项已经如同系统默认菜单项那样被保存下来。
5、自欺欺人的“清理IE工具条”
试试“清理IE工具条”的效果如何。清理后,报告“没有可清理的工具条!”,但IE工具栏上被雅虎助手自动植入的那个带有扫把图标的工具条和其他几个按钮好好的毫发无损。难道它自己的这些就不属于系统之外的第三方工具条吗?工具栏按钮清理也是如此。
6、IE工具栏“重置”功能不能重置雅虎助手植入的工具栏按钮
既然雅虎助手拒绝给我干活,那么就用IE本身的功能设置来恢复工具栏按钮吧。
打开自定义工具栏对话框,点击“重置”,那些被强行植入的按钮闪动了一下,片刻又立即得到恢复
系统的基本功能在雅虎助手的作用下已经部分失效!
7、对系统稳定性的影响
在虚拟机环境下,直接在浏览器地址栏输入“清华大学”进行搜索,前后测试6次,每次都是立即蓝屏。
虽然虚拟机环境与真实环境可能有一些差异,但虚拟机对内存要求较高,系统资源占用较大,据此我们不能确定在真实系统环境也是如此,但起码可以确定,雅虎助手对系统资源的分配肯定存在某种负面影响(或者是存在某种BUG),在对资源需求较大时,会对系统产生不利影响。
三、雅虎助手对系统的写入情况剖析
根据网络实名网站自称的“详细技术原理”,我们看看真实情况是否如网站上所告知的那样。在随后的检测项目中,我们看看它“详细”到什么程度,用户和知情权体现在什么地方。
除了有专门的程序文件夹,雅虎助手还在Windows Downloaded Program Files目录以隐藏的方式保存其文件以便快速修复;在系统驱动程序目录植入驱动程序文件并保证安全模式(即使你不上网!)也能够被加载并且不能被直接删除。
①安装网络实名后的文件植入情况:
●Windows Downloaded Program Files目录被植入37个文件1个文件夹;
●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。
●Program Files目录植入目录名为雅虎助手,共含15个文件和1个文件夹。
共计植入53个文件和2个子文件夹。
②安装雅虎助手后的文件植入情况:
●Windows Downloaded Program Files目录被植入30个文件1个文件夹;
●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。
●Program Files目录植入目录名为雅虎助手,共含79个文件和7个文件夹。
共计植入114个文件和9个子文件夹。
1、向系统植入的文件
2、 Windows资源管理器中无法查看的隐藏文件和目录
据安装前后的注册表导出比较后得出的不完全统计,系统注册表被写入的内容大致如下(因浏览网页等操作会导致动态修改,因此可能会有一些误差):
安装网络实名后,注册表中被写入122个键项、408个键值;
安装雅虎助手后,注册表中被写入251个键项、656个键值。
遗憾的是,按正确的方法卸载、重启后注册表项目仍然无法全部被清除!
3、多种途径实现的自动加载项
网络实名和雅虎助手声明以标准系统接口实现自动加载,而且将这些标准接口利用得淋漓尽致!
⑴雅虎助手在注册表HLM下面的Run键项中添加CnsMin、helper.dll、MiniMsgr、yassistse、YLive等多个自动加载模块,而且卸载、重启后仍然存在;
⑵通过驱动程序模式加载CnMinPK.sys模块,实现进程隐藏,并且通过系统本身的Msconfig无法检测;
⑶通过其多个模块之间的相互修复和守护实现,实现交叉安装、修复、加载;
⑷通过嵌入浏览器帮助对象,实现功能的自动加载;
⑸通过各模块卸载对话框中的修复选项,诱导用户在卸载某个模块的同时,修复和自动加载另一些模块;
⑹通过捆绑到某些第三方安装程序,在安装过程中实现自动安装和自动加载。
4、 自我守护的进程
安装雅虎助手后,任务列表中会存在三个进程,其中以Rundll32.exe显示的两个进程可以实现自动交叉修复,即一个进程是另外一个进程的守护进程。因此,使用Windows任务管理器是无法顺利将它们从内存中关闭的,这点相信多数人深有体会!
5、 植入系统的浏览器加载项
雅虎助手自动植入系统中的多个浏览器加载项。用户的浏览器成为几大公司发财的财源基地。余下的就差没有拿着刀子上门直接抢钱了
6、自动植入浏览器工具栏的多种无关按钮
呵呵,安装后,浏览器上什么Yahoo!等乱七八糟的按钮一股脑儿给你安装上了,甚至连资源管理器也没有放过。
7、控制面板添加删除程序列表中的多余项目
在未被明确告知的情况下,安装雅虎助手后,控制面板的添加删除程序列表中会额外加入两个程序项目。
8、植入系统的系统服务表
使用IceSword这款安全工具检测系统服务描述表(SSDT),可以发现除Ntoskrnl.exe这个系统内核外,就是网络实名和雅虎助手的“CnsMinKP.sys”了。搞编程的人知道这做到了什么级别,普通网民反正“眼不见为净”。可见功夫真的下到了家了!
9、自动创建的线程情况
从图可以看出,雅虎助手及其模块自动创建的线程数之多,在系统总体线程数的比例上是多得令人吃惊的!该图为未打开任何浏览器以及其他相关窗口情况下的线程创建情况(部分需滚动才能查看)
10、后台运行的消息钩子
有兴趣的人可以看看图中的钩子类型,看看雅虎助手利用的大量钩子函数在干些什么。
11、植入浏览器右键菜单的“雅虎搜索”菜单项
12、雅虎助手yassist4.exe打开本地1028端口,作用不明
13、植入Internet选项设置
图是植入到Internet选项的“高级”设置的内容。看看,还有“自动升级”功能呢,有什么新的手段或主意了,再在您的系统中试试?(图23)
四、网络实名及雅虎助手卸载情况剖析
有人在网卡撰文说雅虎助手现在可以通过其卸载程序干净地卸载了。事实情况真的是这样吗?请看——
1、“完全删除”和“完全卸载”的卸载承诺
无论网络实名还是雅虎助手,在卸载程序中都承诺“把雅虎助手从电脑中完全删除”和“完全卸载实名插件并关闭实名功能”。
2、完全卸载不完全
雅虎助手卸载成功并重启后,在资源管理器中无法看到Windows Downloaded Program Files文件夹中有任何文件(即使你将资源管理器设置为显示所有文件、显示系统文件)。但使用著名的Total Commander文件管理器,却发现有一个zsmod.dll的隐藏文件!
雅虎助手卸载重启后资源管理器无法看到的隐藏文件
如果是卸载雅虎助手,卸载成功并重启后,上述目录居然隐藏有30个文件1个文件夹!
雅虎助手卸载重启后系统目录中隐藏的大量文件(Windows资源管理器无法以任何方式查看到,Total Commander可显示)
以zsmod.dll为关键字在注册表编辑器中搜索,可以发现这个文件并非是一个被“遗忘”的死文件,而是有相应的注册表键值!
标签: