天下最无耻的软件3721之大揭密[转帖]
学会上网之后,原本以为到达了一个更加便利的世界,然而,这个自由便利的世界却早被3721统治。
5年时间,疯狂掠夺统治资本
3721从1998年成立至今一直在利用微软的浏览器做着自己的梦,试图打造中国人的网络标准。用了5年时间,3721通过各种渠道、利用各种手段,让他的网络实名插件遍布90%的中文上网用户,而这,就是3721用5年时间积累起的统治中国互联网的雄厚资本,3721插件,表面上是中文上网工具,实际上,背后利用简单的病毒原理控制着网民的电脑,玩弄着中国互联网和对技术不甚了解的7000万网民,5年时间,积累起了足以对抗7000万网民和的雄厚资本。
用简单的技术愚弄着中国网民
这样一个打着“简单上网”旗号的3721,在程序员眼里,甚至成为了“LJ”的代名词。
到任何程序员聚集的站点,查看一下涉及到3721新闻的评论 90%以上都是对3721的攻击,甚至是辱骂,更有程序员还在个人网站中标注:“如果你是3721的支持者,不要安装本程序,本人不欢迎并拒绝其支持者使用本程序!”
首先,程序员对3721的技术一直没有持肯定态度。在程序员看来,通过客户端软件将域名和中文单词对应起来,实在没有什么技术可言。
最初,3721的软件是客户端的形式,主要通过和网站合作进行免费发放,但这种方式容易被用户拒绝或者删除。不久,3721采用了微软公开的activex技术标准,将客户端转变为了浏览器插件。应该说,许多软件均采用activex技术开发,例如flash动画播放插件、microsoft media player插件等,这种方式也无可厚非,但3721在推行这种方式时,并没有尊重用户的意愿,而是防不胜防的在各种网站上弹出骚扰对话框,强迫安装。有程序员表示:“不管软件写的怎样,有一点是肯定的,开发者和策略制订者缺乏起码的职业道德。现在所谓2000万用户,有多少是自愿安装的呢?又有多少是踩中地雷的呢。”同时,在早期的某些版本中,的确有造成用户死机的案例出现并被广泛的传播。
因此,3721接下来就好像故意要同程序员做一些对抗的工作。为了防止卸载删除,软件中采用各种技术手段。有程序员说:“现在3721的插件越做越霸道。不止是修改注册表,而是一直在你的系统里运行,并把自己伪装起来,我曾经把cmin*.dll删除后,用winhex查还有,是改名运行的!而且如果用softice 调程序,3721的dll总会捣乱!” 3721在煞费苦心的加入各种技巧,有的技巧与木马病毒的原理一模一样,所有3721的软件在你的计算机上都开着后门,而这个后门,正是3721走进你计算机深处的通途,3721在偷窥你的时候,你,却并不知情。
用程序员群体的眼光看,3721是自辱,对中国互联网是侮辱!
但是,3721为了保证其利润来源和一个无耻的梦想,他还是选择侮辱中国互联网,侮辱中国网民。
黑社会手段抢夺地盘
然而3721在圆自己的美梦时却毁掉了众多网民的基本的使用权。众多不知情的网民在无意下载3721插件后却一直在被3721的梦想所左右。3721的插件也已经开始在90%的中文上网用户打开电脑开始上网时被监控。
有懂技术的网民在论坛上发表言论时写道:这两天上某些网站不是很顺利,开始我以为是网络的问题,可是其它网站上的去很正常,因此我排除了网络原因。排除了病毒原因之后,我反编译了其电脑里唯一和浏览器相关的程序——3721网络实名插件。当看到3721程序代码的时候,他说:“当时吓出了一身冷汗。原来这个程序有个后门,所有的人都不知道存在的这个后门。而3721的其他程序就通过这个后门进进出出。在这个程序中我发现了一段代码,这就是屏蔽那些网站的代码,在这个代码后面,有着一长串我们熟悉的网站,有的屏蔽是生效的,有的屏蔽还没有启用。这段代码就像一个机器人一样,在这段代码后边,如果加上http://www.sina.com.cn 那么新浪网将被屏蔽而无法访问。
3721为了保住他的网络实名业务,不得不保住他插件的推广量,而3721用这种手段,在威胁并强迫着许多网站为他弹插件。而许多网站却敢怒不敢言。***网站是受害者之一,而除他之外,还后一长串名单。
3271就像中国互联网的黑社会,他知道你电脑里的所有信息,他占据着本属于网民的中国互联网,把他划为属于自己的地盘,牢牢控制,即便是sina、sohu、netease、qq这样的门户大腕,慑于3721的淫威,在3721面前也是敢怒不敢言,因为就连都无可奈何。
谁来管管3721?
4、“清理痕迹”清理了谁的痕迹?
图11是上网助手的“清理痕迹”功能测试。执行清理并得到“当前没有网址记录!”的结果,但打开浏览器的历史侧边栏,结果如何?
图 11 “痕迹清理”清理了谁的痕迹?
5、插件管理专家别有私心
打开上网助手的插件管理专家,其中仅仅“虚心”地把搜索助手列了出来;但打开浏览器的加载项对话框,3721和上网助手植入的十几个加载项却赫然在目(图12)!别家的插件算插件,自己偷偷植入的众多玩艺一律不算插件,这是什么逻辑?!
图 12 “插件管理专家”对自己植入的垃圾插件视而不见
6、把自己的“搜一搜”右键菜单视为系统默认菜单
再看看“恢复IE外观”中的“清理IE右键菜单”功能。清理后,报告“没有可清理的菜单!”
但实际上,在浏览器中右击鼠标,“!搜一搜”的3721附加的菜单项已经如同系统默认菜单项那样被保存下来(图13)。令人不解的是,“!搜一搜”这种表达方式不知在中国语言学中算是一种什么手法?
图 13 3721自动添加的右键菜单不算清理对象
7、自欺欺人的“清理IE工具条”
试试“清理IE工具条”的效果如何。清理后,报告“没有可清理的工具条!”,但IE工具栏上被3721自动植入的那个带有扫把图标的工具条和其他几个按钮好好的毫发无损(图14)。难道它自己的这些就不属于系统之外的第三方工具条吗?工具栏按钮清理也是如此。
图 14 清理IE工具条结果
8、IE 工具栏“重置”功能不能重置3721植入的工具栏按钮
既然上网助手拒绝给我干活,那么就用IE本身的功能设置来恢复工具栏按钮吧。
打开自定义工具栏对话框,点击“重置”,那些被强行植入的按钮闪动了一下,片刻又立即得到恢复(图15)。
系统的基本功能在3721的作用下已经部分失效!
图 15 “重置”工具栏按钮后的效果
9、对系统稳定性的影响
在虚拟机环境下,直接在浏览器地址栏输入“合工大”进行搜索,前后测试6次,每次都是立即蓝屏(图16)。
虽然虚拟机环境与真实环境可能有一些差异,但虚拟机对内存要求较高,系统资源占用较大,据此我们不能确定在真实系统环境也是如此,但起码可以确定,搜索助手对系统资源的分配肯定存在某种负面影响(或者是存在某种BUG),在对资源需求较大时,会对系统产生不利影响。全面剖析3721及上网助手-全面揭露 触目惊心!
图 16 半个工作日的搜索测试中系统蓝屏6次
三、3721对系统的写入情况剖析
根据网络实名网站自称的“详细技术原理”,我们看看真实情况是否如网站上所告知的那样。图17是其对用户告知的内容。在随后的检测项目中,我们看看它“详细”到什么程度,用户和知情权体现在什么地方。
图 17 网络实名的“详细技术原理”
1、向系统植入的文件
除了有专门的程序文件夹,3721还在WindowsDownloaded Program Files目录以隐藏的方式保存其文件以便快速修复;在系统驱动程序目录植入驱动程序文件并保证安全模式(即使你不上网!)也能够被加载并且不能被直接删除(图18、图19)。
①安装3721后的文件植入情况:
● WindowsDownloaded Program Files目录被植入37个文件1个文件夹;
● WindowsSystem32Drivers目录植入CnMinPK.sys驱动程序文件。
● Program Files目录植入目录名为3721,共含15个文件和1个文件夹。
共计植入53个文件和2个子文件夹。
②安装上网助手后的文件植入情况:
● WindowsDownloaded Program Files目录被植入30个文件1个文件夹;
● WindowsSystem32Drivers目录植入CnMinPK.sys驱动程序文件。
● Program Files目录植入目录名为3721,共含79个文件和7个文件夹。
● Program Files目录植入目录名为YDT,共含4个文件和1个文件夹。共计植入114个文件和9个子文件夹。
图 18 以驱动方式植入系统,安全模式也能生效
图 19 Windows资源管理器中无法查看的隐藏文件和目录
2、写入的注册表项目
据安装前后的注册表导出比较后得出的不完全统计,系统注册表被写入的内容大致如下(因浏览网页等操作会导致动态修改,因此可能会有一些误差):
安装3721后,注册表中被写入122个键项、408个键值;
安装上网助手后,注册表中被写入251个键项、656个键值。
遗憾的是,按正确的方法卸载、重启后注册表项目仍然无法全部被清除!
3、多种途径实现的自动加载项
3721声明以标准系统接口实现自动加载,而且将这些标准接口利用得淋漓尽致!
⑴上网助手在注册表HLM下面的Run键项中添加helper.dll、YDTMain.exe、CnsMin三个自动加载模块,而且卸载、重启后仍然存在(图20);
⑵通过驱动程序模式加载CnMinPK.sys模块,实现进程隐藏,并且通过系统本身的Msconfig无法检测;
⑶通过其多个模块之间的相互修复和守护实现,实现交*安装、修复、加载;
⑷通过嵌入浏览器帮助对象,实现功能的自动加载;
⑸通过各模块卸载对话框中的修复选项,诱导用户在卸载某个模块的同时,修复和自动加载另一些模块;
⑹通过捆绑到某些第三方安装程序,在安装过程中实现自动安装和自动加载。
图 20 卸载后仍然自动重启的模块
4、自我守护的进程
如图21,安装上网助手后,任务列表中会存在三个进程,其中以Rundll32.exe显示的两个进程可以实现自动交*修复,即一个进程是另外一个进程的守护进程。因此,使用Windows任务管理器是无法顺利将它们从内存中关闭的,这点相信多数人深有体会!
图 21 创建多个进程并且可自我守护
5、植入系统的浏览器加载项
图22是上网助手自动植入系统中的8种浏览器加载项。用户的浏览器成为几大公司发财的财源基地。余下的就差没有拿着刀子上门直接抢钱了。
图 22 一口气自动植入8种浏览器加载项
6、自动植入浏览器工具栏的多种无关按钮
呵呵,安装后,浏览器上什么Yahoo!等乱七八糟的按钮一股脑儿给你安装上了,甚至连资源管理器也没有放过(图23,够贴心的吧)。
图 23 资源管理器中被强行植入的按钮
7、控制面板添加删除程序列表中的多余项目
在未被明确告知的情况下,安装上网助手后,控制面板的添加删除程序列表中会额外加入两个程序项目(图24)。
图 24 不知道什么时候被植入的额外两个模块
8、植入系统的系统服务表
使用IceSword这款安全工具检测系统服务描述表(SSDT),可以发现除Ntoskrnl.exe这个系统内核外,就是3721和上网助手的“CnsMinKP.sys”了。搞编程的人知道这做到了什么级别,普通网民反正“眼不见为净”。可见功夫真的下到了家了!
4 全面剖析3721及上网助手-全面揭露 触目惊心!
图 25 通过任务管理器无法查看到的系统服务表
9、自动创建的线程情况
从图26可以看出,上网助手及其模块自动创建的线程数之多,在系统总体线程数的比例上是多得令人吃惊的!该图为未打开任何浏览器以及其他相关窗口情况下的线程创建情况(部分需滚动才能查看)。
图 26 自动创建的线程列表
10、后台运行的消息钩子
有兴趣的人可以看看图27中的钩子类型,看看3721利用的大量钩子函数在干些什么。
图 27 众多的消息钩子
11、植入浏览器右键菜单的“!搜一搜”菜单项
呵呵,浏览器右键菜单中被植入的“!搜一搜”是不是该倒过来从右向左读?这个世界的法则是不是也要倒过来解读(图28)?
图 28 浏览器右键菜单项
12、上网助手Assistse.exe打开本地1028端口
如图29,上网助手Assistse.exe打开本地UDP 1028端口,作用不明。
图 29 端口打开情况 未经明确告知,强行植入其他程序模块。
通过系统驱动的方式加载,安全模式亦无法避免。就连Windows都将带网络连接的安全模式作为一个单独的项目提供给用户,而3721则是青红皂白,不管用户是否使用网络,一律加载没商量!
2、3721及上网助手的法律层面剖析
额外安装程序侵犯知情权;
强行植入的少儿不宜的URL链接无视青少年权限保护;
宣传黄毒;
介绍黄毒;
卸载卸载过程中以欺骗的手段保留未经用户许可的模块,而且相互交*修复;
自动感染、自动繁植、隐藏自身、占用系统资源、干扰用户上网活动、直接或间接向系统中带入不良数据、清除极其困难、通过多种途径自动加载……已经具有完整的病毒特征;
提供不良内容下载……
3、3721及上网助手对国家安全及文化导向的影响
由艰苦奋斗勤俭建国转向靡靡之音声色犬马的和平演变,只需借助3721;
瓦解民众斗志,只需3721;
占领中国的宣传阵地,只需利用3721;
主导中国的网络安全命脉,只需掌握3721;
转变中国网民的文化导向,只需借助3721;
对中国发动网络瘫痪战,只需通过3721!
…………
所有这些,3721已经在做了,而且做得很好!
在我们上次对三七二一公司的报道中,三七二一公司已经一次次的挑战网民的忍耐力和承受能力。不断在技术上进行改进,以达到使网民无法屏蔽该公司网络实名客户端的目的。面对网民愤怒的谴责和自发的屏蔽行动,三七二一公司显然是准备不惜一切代价与这些在其眼里是”刁民“的网友战斗到底。q2=
©赛盟休闲站 -- 赛盟休闲站 Lpb
近日,我们再次发现,三七二一公司进一步改进了他们的”反“屏蔽技术。通过该方法,网络实名的客户端将”永久“的驻留在用户的计算机系统中,即使用户选择了卸载该客户端。除非,用户重新安装其计算机系统,否则,无法手动清除该程序。eg?|}
©赛盟休闲站 -- 赛盟休闲站 Cq9
在用户浏览网页时,弹出的安装窗口,既没有使用协议,也没有明示程序的发布公司,存在严重的欺诈行为。同时,该程序并不会在用户的计算机中建立”合法 “的程序安装目录,而且用户通过一般手段,无法在自己的计算机系统中找到被安装的程序,这无疑严重危害了用户的计算机安全。7Op
©赛盟休闲站 -- 赛盟休闲站 yL$a
对于,三七二一这样的行为,一些法律也专家认为,三七二一公司已经严重违反了中华人民共和国国务院于 1997 年颁布实施的《计算机信息网络国际联网安全保护管理办法》中的相关条款,以及《中华人民共和国消费者保护法》的相关内容。dw0Ym2
©赛盟休闲站 -- 赛盟休闲站 n/3
在此,我们仅代表那些深受三七二一网络实名”病毒“之苦的用户,谴责三七二一公司这种毫无商业道德的行为。并且,希望国家有关部门,认真对待该事件,规范市场秩序,创造良好的市场环境。!YP7
3721绝绝对对是一款流氓软件!
一个软件不管做得多么好(何况3721做的并不好)它强制要求用户使用就是流氓行为!而且微软的反间谍软件把3721定义为了间谍软件。
我真的不知道为3721投票的那些人在想些什么,难道你们喜欢被别人偷窥?莫名其妙!
总之一句话:有3721在中国软件业就别想好起来!
【3721的配置文件截屏效果旁证】
大家从上图可以发现下列程序:
[Root]
P1=Baidu.com,Inc|Gaoling Interactive information Technology Corporation limited
P3=搜索伴侣|百度|百度|搜 索 伴 侣|地址栏直接搜索|直达网址|每步
G1=363746444332433059473142475940353735594d4d364159323641324c40464c464444370828
271106021d17110728371a3f2408
W1=|cnnic.net.cn|159.226.6.188|159.226.7.164|cnnic.cn|shifen.com|
W2=|cnnic.net.cn|159.226.6.188|baidu.com|159.226.7.164|cnnic.cn|shifen.com|
U1=3721.com|3721.net|
U2=baidu.com|shifen.com|hzs.cn
hint=在此输入中文,可以直接搜索|找MP3音乐吗?试试输入歌名|找房吗?试试输入楼盘名称|输入中文名称,可以直接访问。
--------------------
笔者对上述几个网址进行访问,发现:
第一,www.baidu.com 是百度公司网站网址(本案原告);
第二,www.shifen.com 是百度上网伴侣网址(本案原告);
第三,www.cnnic.net.cn 及 www.cnnic.cn 是中国互联网络信息中心(CNNIC)网址;
第四,www.hzs.cn 是山东青岛青岛每步数码科技有限公司网址,
换句话说,上述网站都可能遇到与百度公司同样情况:被3721公司软件删除破坏。
为此笔者进一步了解,发现确实有此问题:
1、从CNNIC主管单位2004年第二次起诉3721公司(三家公司)一案的证据(2003年便做的公证)有印证;因为这是另一案件,结果留待法庭去判决,此处不便再加评论。
2、从新浪科技2003年12月24日发的《“直达网址”叫板3721》 (http://tech.sina.com.cn/i/w/2003-12-24/1816273032.shtml)一文,可以了解到山东青岛青岛每步数码科技有限公司直达网址的一些介绍。据该公司老板柳春明先生提供的资料:
直达网址自2003年5月推出市场以来,受到广大用户的欢迎,给地址栏搜索方式带来了新的冲击,在地址栏搜索领域居于领先地位的公司感受到压力,他们在2003年11月至12月间对我们公司的插件下载采取了屏蔽手段,使我们失去了大量客户,访问量迅速下降(可以从 http://www.alexa.com/data/detail ... &url=www.hzs.cn 的图形看到),也使的很多用户对我们的产品产生了疑问,在百度的诉讼取得一审判决的胜利后,我们的插件下载的屏蔽也被取消,用户数量也随之迅速增加。但目前仍受到极其隐秘的屏蔽威胁,目前他们采取的方法是提供用户4个选项,默认的选项就是“永远不提示安装该插件”,由于99%的用户是非专业人员,极有可能点确认,造成插件无法安装。这种屏蔽方式不光是对我们这种插件的按装造成了威胁,而且对其他用户的业务造成了威胁。
柳春明先生举例说明:当使用工商银行的网络银行业务时,他也会弹出插件安装提示,如果用户无意间选择了“永远不提示安装该插件”,则这台电脑就无法使用工商银行的网络银行业务了,以后也不会提示安装。所以“网络助手”不仅侵害了同行利益,也侵害了网络上所有使用该功能的公司极其用户的利益。
【法律该给公众什么交代】
当笔者写至此时,心情有些沉重:我们的国家难道可以这样任由厂商插件干扰用户的上网行为吗?
期望这二个案子以及随后的系列案件判决可为中国的网络环境创造出更公平、公正、透明的环境,也许我们只有等待法律给公众一个圆满的交代?!
[ 本帖最后由 qq278979812 于 2006-6-4 04:56 编辑 ] |
[复制链接]
IP卡
狗仔卡
发表于 2006-6-4 01:18:21
提升卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
发表于 2006-6-4 03:58:35
发表于 2006-6-4 11:15:41