看看雅虎助手是如何迫害“兔子”和“360安全卫士”的

输入您的搜索字词 提交搜索表单

    这几天研究了一下雅虎助手是如何干扰360卫士的，发现如果安装雅虎助手的时候不安装3721就不会有问题，看来问题出在3721上了。于是在安装雅虎助手的时候选择安装3721，结果问题果然出现了，联想到前几天在360论坛上看到vcmfc提到雅虎助手/3721通过一个系统CBT钩子干扰“360安全卫士”和“兔子”，于是特别留意了一下系统钩子运行的情况。安装了雅虎助手之后，我先运行了一个自编的系统钩子检查程序AntiHook.exe，果然立刻发现了雅虎助手安装的钩子，见下图：

 

yhelper.dll没有加密措施，对“360安全卫士”和“兔子”的迫害代码随处可见，比如，下面的代码是从Runonce中删除“兔子”和“360”的启动项，干扰这两个程序的运行：
.text:53002C9E loc_53002C9E:                           ; CODE XREF: sub_53002993+285
.text:53002C9E                 mov     esi, ds:SHDeleteValueA
.text:53002CA4                 mov     ebx, offset pszSubKey ; "SOFTWARE//Microsoft//Windows//CurrentVersi"...
.text:53002CA9                 push    offset pszValue ; "Super Rabbit Winspeed"
.text:53002CAE                 mov     edi, 80000002h
.text:53002CB3                 push    ebx             ; pszSubKey
.text:53002CB4                 push