三、雅虎助手对系统的写入情况剖析

根据网络实名网站自称的“详细技术原理”，我们看看真实情况是否如网站上所告知的那样。图12是其对用户告知的内容。在随后的检测项目中，我们看看它“详细”到什么程度，用户和知情权体现在什么地方。

图12 网络实名的“详细技术原理

除了有专门的程序文件夹，雅虎助手还在Windows Downloaded Program Files目录以隐藏的方式保存其文件以便快速修复；在系统驱动程序目录植入驱动程序文件并保证安全模式（即使你不上网！）也能够被加载并且不能被直接删除（图13、图14）。

①安装网络实名后的文件植入情况：
●Windows Downloaded Program Files目录被植入37个文件1个文件夹；
●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。
●Program Files目录植入目录名为雅虎助手，共含15个文件和1个文件夹。
共计植入53个文件和2个子文件夹。

②安装雅虎助手后的文件植入情况：
●Windows Downloaded Program Files目录被植入30个文件1个文件夹；
●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。
●Program Files目录植入目录名为雅虎助手，共含79个文件和7个文件夹。
共计植入114个文件和9个子文件夹。

图13 以驱动方式植入系统，安全模式也能生效

1、向系统植入的文件

2、 图14 Windows资源管理器中无法查看的隐藏文件和目录

、写入的注册表项目
据安装前后的注册表导出比较后得出的不完全统计，系统注册表被写入的内容大致如下（因浏览网页等操作会导致动态修改，因此可能会有一些误差）：

安装网络实名后，注册表中被写入122个键项、408个键值；
安装雅虎助手后，注册表中被写入251个键项、656个键值。
遗憾的是，按正确的方法卸载、重启后注册表项目仍然无法全部被清除！

3、多种途径实现的自动加载项
网络实名和雅虎助手声明以标准系统接口实现自动加载，而且将这些标准接口利用得淋漓尽致！
⑴雅虎助手在注册表HLM下面的Run键项中添加CnsMin、helper.dll、MiniMsgr、yassistse、YLive等多个自动加载模块，而且卸载、重启后仍然存在（图15）；

⑵通过驱动程序模式加载CnMinPK.sys模块，实现进程隐藏，并且通过系统本身的Msconfig无法检测；

⑶通过其多个模块之间的相互修复和守护实现，实现交叉安装、修复、加载；

⑷通过嵌入浏览器帮助对象，实现功能的自动加载；

⑸通过各模块卸载对话框中的修复选项，诱导用户在卸载某个模块的同时，修复和自动加载另一些模块；

⑹通过捆绑到某些第三方安装程序，在安装过程中实现自动安装和自动加载。

图15 卸载后仍然自动重启的模块

发表于 @ 2005年12月20日 13:59:00|评论(loading...)|编辑