Pregúntale a un experto en informática: ¿Cómo es "Yahoo Assistant"? Algunas personas dicen que es muy bueno, pero otras dicen que es software basura. ¿A quién deberías escuchar?
3721, como programa de red que se puede instalar automáticamente y es extremadamente popular, ha sido controvertido en los últimos años. Este artículo intenta enumerar una serie de hechos objetivos de diversos aspectos, como instalación, desinstalación, servicio, impacto en el sistema, etc. Las opiniones relevantes solo representan las opiniones personales del autor. Las discutiré con Dafangzhijia. Creo que cada uno tiene las suyas. opiniones y opiniones Al mismo tiempo, también espero que esto cause cierta confusión a las autoridades pertinentes.
Entorno de prueba: máquina virtual VMWare, conexión de host compartido, acceso a Internet con una dirección IP pública independiente, el sistema operativo es Windows XP Pro SP2, instalado de forma predeterminada, solo se copia directamente para realizar pruebas. El programa de administración de archivos necesario; Total Commander, la herramienta de seguimiento de registro Advanced Registry Tracer, la herramienta de instantáneas UltraSnap y el método de entrada de escritura necesario Wubi no están instalados. Además, algunas imágenes muestran varios contenidos de forma superpuesta para ahorrar espacio.
1. Análisis de la instalación de 3721
1. La promoción de la instalación ha pasado de "indicaciones repetidas" a agrupación.
Desde que Windows XP SP2 lanzó el After the mejorado. Como característica de seguridad, los mensajes de instalación de 3721 que aparecían con frecuencia en el pasado se han suprimido de manera efectiva (Figura 1). Por lo tanto, además de la instalación tradicional mediante la implantación del navegador y la descarga e instalación directa, sus métodos de promoción e instalación también se han abierto en algunos. *** Instálelo incluido con shareware y software gratuito (Figura 2). Aunque el nuevo método de instalación incluido tiene opciones de instalación, para los usuarios que están acostumbrados al "método completo e ingresar" para instalar software, existe una gran posibilidad de que se instale en el sistema sin problemas.
El mecanismo de seguridad de Windows XP SP2 trae inconvenientes a la instalación de 3721
Agrupación e instalación por defecto a través de software libre o gratuito
2. Método de instalación "a tres", implantando secretamente otros módulos
Si se instala Internet Assistant, no es el programa Internet Assistant el que realmente se implanta en el sistema al mismo tiempo, sino que se instala silenciosamente en al mismo tiempo, se han instalado dos programas independientes, "Búsqueda en la barra de direcciones" y "Asistente de búsqueda".
Al desinstalar Internet Assistant, los dos programas adicionales no se desinstalarán al desinstalar cada programa; No se desinstalarán dos programas adicionales. La opción de conservar otros módulos se agrega al cuadro de diálogo para lograr la reparación automática en caso de desinstalación no intencional.
3. Mecanismo de autoprotección perfecto
Desde la perspectiva de instalación, protección, desinstalación y reparación, todos los enlaces están entrelazados (Figura 4) y no hay ningún enlace en ninguno. enlace Si se maneja correctamente, no se puede lograr una desinstalación limpia en la superficie (no se puede lograr una desinstalación verdaderamente completa a menos que se limpie manualmente, como se detalla a continuación).
Los mecanismos de protección en cada enlace están entrelazados y son difíciles de eliminar
2 Análisis del servicio "íntimo" proporcionado por 3721 e Internet Assistant
Afirma que Proporciona varios Este tipo de servicio considerado, las funciones indicadas por sus elementos de servicio también son muy fáciles de usar. Realizamos una prueba sencilla en varios de ellos para ver qué naturaleza y calidad de los "servicios" ofrece 3721.
1. La epidemia de pornografía es impactante
Después de instalar 3721 Internet Assistant, se implantaron más de 20 listas de URL en la barra de direcciones del navegador sin previo aviso, y el contenido no era más que eso. que: Relacionado con sexo, entretenimiento, ganar dinero, etc.
A juzgar por la lista de URL en la barra de direcciones que se implantan a la fuerza, una computadora con 3721 o Internet Assistant instalado se ha convertido en un "no apto para niños". " al pie de la letra. "¡Computadora!"
Eche un vistazo al enlace "Mujeres hermosas como nubes: 1.500 millones de imágenes y experiencia de estado de ánimo" que implantaron a la fuerza. Haga clic en algunos enlaces a voluntad y los resultados (como se muestra en la Figura 6) incluyen. "desnudo", "selfie", "Película de estrella de tercer nivel", "tentación de jóvenes guarras", "robo de habitaciones de hotel", "pasión infinita"... ¡y otras palabras poco halagadoras me vinieron a la cara!
Si el contenido específico proporcionado tiene algo que ver con otros socios, eche un vistazo a la página principal de "Nubes de mujeres hermosas: 1,5 mil millones de imágenes y experiencia de estado de ánimo" recomendada por 3721. "Los elementos de la categoría son claramente visible (Figura 7).
Echemos un vistazo al “Cine de banda ancha de velocidad extrema” recomendado por 3721. "Sex Diaries", "Sister Erotica", "Village Prostitutes", "Cheating Family", etc. ocupan la gran mayoría del catálogo de contenidos. ¿Puedes encontrar al menos un poquito de contenido saludable, positivo y edificante entre ellos? !
Esta es la punta del iceberg del gusto de contenidos en los servicios proporcionados por 3721 e Internet Assistant.
Lista de URL de la barra de direcciones del navegador implantada automáticamente
Implantar automáticamente uno de los contenidos del enlace en el historial de direcciones del navegador
Implantar automáticamente la navegación Parte 2 del enlace histórico en la barra de direcciones del navegador
Parte 3 del enlace histórico implantado automáticamente en la barra de direcciones del navegador
2 Competente en "phishing"
Además de lo anterior. -mencionada promoción descarada de pornografía (¿qué contenido público no es pornográfico o pornográfico?), también utiliza un método de phishing para atraer clics: bajo la apariencia de "películas gratis", el reproductor se superpone con anuncios, cuando el usuario hace clic en el reproductor. , se activará un clic en el anuncio
Este método de inducir clics es solo una forma. Con este enfoque "avanzado", ¿qué no se puede hacer?
Implantar automáticamente películas gratuitas abiertas en enlaces históricos en la barra de direcciones del navegador (phishing: un anuncio Flash se superpone con el botón de reproducción para atraer a los usuarios a hacer clic. Aquí, la configuración no muestra Flash para exponer su fotograma superpuesto estructura)
3. Las funciones íntimas no son consideradas
Mucha gente está interesada en la función de filtrado de anuncios emergentes de Internet Assistant. ¡Veamos qué está pasando realmente!
Utilice la página de prueba profesional de /popupkillertest para realizar pruebas de filtrado de ventanas emergentes. Para evitar interferencias, primero desactive la función de filtrado de ventanas emergentes de Windows XP SP2 (nadie diría que el filtrado de ventanas emergentes de Internet Assistant depende de las funciones relacionadas con SP2 de Windows XP, ¿verdad?).
Resultados de las pruebas, entre las 27 pruebas, las que fallaron fueron: Ítem 3, Ítem 6 (1, 2), Ítem 8, Ítem 9, Ítem 10, Ítem 11, Ítem 12, Ítem 16, Artículo 17, Artículo 20, Artículo 21, Artículo 22, Artículo 24, Artículo 26, Artículo 27 (1, 2, 3), *** La prueba falló. Hay 15 artículos (18 tipos), los artículos con cuenta de filtrado fallida. el 55% del total, y los tipos de fallas representan el 66% del total (Figura 10). Es decir, según el sistema de cien puntos, la capacidad de filtrado de ventanas emergentes del Asistente de Internet ni siquiera obtuvo una puntuación aprobatoria.
Si habilita la función de filtrado de ventanas emergentes de Windows XP SP2, o utiliza un navegador de terceros con función de filtrado de ventanas emergentes como Maxthon, los resultados de las pruebas del mismo proyecto serán completamente ¡diferente! El autor no proporcionará la situación específica por el momento. ¡Puede probarlo y compararlo usted mismo para comprender completamente las capacidades de este "asistente" en línea!
El terrible filtrado da como resultado la prueba de filtrado de la ventana emergente
4. ¿De quién son los rastros que limpia "Cleaning Traces"?
Es una prueba de la función "limpiar rastros" del Internet Assistant. ¿Qué tal realizar una limpieza y obtener el mensaje "¡No hay registros de URL actualmente!" pero abrir la barra lateral del historial del navegador?
¿De quién son los rastros que se limpian mediante la “limpieza de rastros”?
5. El experto en administración de complementos tiene motivos ocultos
El experto en administración de complementos que abrió el Asistente de Internet solo incluyó el asistente de búsqueda "humildemente" pero abrió el complemento del navegador; -on Cuadro de diálogo, 3721 y más de una docena de complementos implantados por Internet Assistant son claramente visibles (Figura 12). Los complementos de otras empresas se consideran complementos, pero muchos de los dispositivos que usted implantó en secreto no son complementos. !
Los "expertos en administración de complementos" hacen la vista gorda ante los complementos basura que han implantado
6 Trate su propio menú contextual "Souyiso" como el predeterminado del sistema. menu
Eche otro vistazo a la función "Limpiar menú contextual de IE" en "Restaurar apariencia de IE". Después de la limpieza, aparece el informe "¡No hay ningún menú que se pueda limpiar!"
Pero, de hecho, cuando haces clic con el botón derecho del mouse en el navegador, los 3721 elementos de menú adicionales de "! Sou Yisou" son Ya se conservaron los mismos elementos del menú predeterminados del sistema (Fig. 13).
Lo que resulta desconcertante es que la expresión "! Sou Yisou" no se conoce como técnica en la lingüística china.
El menú contextual agregado automáticamente por 3721 no es un objeto de limpieza
7. Autoengaño de "limpiar la barra de herramientas de IE"
Intente "limpiar IE" barra de herramientas" Qué efectivo. Después de la limpieza, informó "¡No hay barra de herramientas para limpiar!", pero la barra de herramientas con el ícono de la escoba y varios otros botones en la barra de herramientas de IE que fueron implantados automáticamente por 3721 permanecieron intactos (Figura 14). ¿No pertenecen estas propias a barras de herramientas de terceros fuera del sistema? Lo mismo ocurre con la limpieza de los botones de la barra de herramientas.
Limpiar los resultados de la barra de herramientas de IE
8. La función "restablecer" de la barra de herramientas de IE no puede restablecer los botones de la barra de herramientas implantados por 3721
Ya que el Asistente de Internet se niega a dar. Realice el trabajo y luego use la configuración de funciones propia de IE para restaurar los botones de la barra de herramientas.
Abra el cuadro de diálogo de la barra de herramientas personalizada y haga clic en "Restablecer". Esos botones implantados a la fuerza parpadearon por un momento y se restauraron inmediatamente.
¡Las funciones básicas del sistema han sido parcialmente deshabilitadas bajo la influencia de 3721!
9. Impacto en la estabilidad del sistema
En el entorno de la máquina virtual, ingrese directamente "Hegong University" en la barra de direcciones del navegador para buscar y probar 6 veces antes y después, y cada vez. tiempo Es una pantalla azul inmediata.
Aunque puede haber algunas diferencias entre el entorno de la máquina virtual y el entorno real, las máquinas virtuales tienen mayores requisitos de memoria y ocupan mayores recursos del sistema. En base a esto, no podemos estar seguros de que ocurra lo mismo en el entorno real. entorno real del sistema, pero al menos podemos estar seguros, el asistente de búsqueda debe tener algún impacto negativo en la asignación de recursos del sistema (o habrá algún tipo de ERROR), y cuando la demanda de recursos sea grande, tendrá un impacto. impacto adverso en el sistema.
Durante la prueba de búsqueda en medio día laborable, el sistema realizó una pantalla azul 6 veces
Análisis de 3721 escrituras en el sistema
Según el mismo. -proclamó "Principios técnicos detallados", veamos si la situación real es la que se cuenta en el sitio web. La Figura 17 es lo que les dice a los usuarios. En proyectos de prueba posteriores, veremos qué tan "detallado" es y dónde se reflejan los usuarios y su derecho a saber.
"Principios técnicos detallados" del nombre real de la red
1. Archivos implantados en el sistema
Además de las carpetas de programas especiales, 3721 también está en Windows. \ El directorio Archivos de programa descargados guarda sus archivos de forma oculta para una reparación rápida; los archivos del controlador se implantan en el directorio del controlador del sistema y garantizan que el modo seguro (¡incluso si no está en línea!) se pueda cargar y no se pueda eliminar directamente.
①Situación de implantación de archivos después de instalar 3721:
● 37 archivos y 1 carpeta fueron implantados en el directorio Windows\Archivos de programa descargados;
● El archivo CnMinPK.sys El archivo del controlador está implantado en el directorio Windows\System32\Drivers.
● El nombre del directorio de archivos del programa es 3721, que contiene 15 archivos y 1 carpeta.
Se implantan un total de 53 archivos y 2 subcarpetas.
②Situación de implantación de archivos después de instalar Internet Assistant:
● 30 archivos y 1 carpeta fueron implantados en el directorio Windows\Archivos de programa descargados;
● El CnMinPK. El archivo del controlador sys está implantado en el directorio Windows\System32\Drivers.
● El nombre del directorio implantado en el directorio Archivos de programa es 3721, que contiene 79 archivos y 7 carpetas.
● El nombre del directorio de archivos del programa implantado es YDT, que contiene 4 archivos y 1 carpeta.
Se implantaron un total de 114 archivos y 9 subcarpetas.
Si el sistema está instalado como controlador, el modo seguro también puede entrar en vigor
Archivos y directorios ocultos que no se pueden ver en el Explorador de Windows
2. Elementos del registro
Según estadísticas incompletas obtenidas al comparar la exportación del registro antes y después de la instalación, el contenido escrito en el registro del sistema es aproximadamente el siguiente (debido a que navegar por la web y otras operaciones generará modificaciones dinámicas, Puede que haya algunos errores):
Después de instalar 3721, se escribieron 122 elementos clave y 408 valores clave en el registro
Después de instalar Internet Assistant, 122 elementos clave y 408; Los valores clave se escribieron en el registro. 251 elementos clave y 656 valores clave.
Desafortunadamente, incluso después de desinstalar y reiniciar de la manera correcta, ¡todos los elementos del registro aún no se pueden borrar!
3. Complementos automáticos implementados de múltiples maneras
3721 declara que la carga automática se implementa utilizando interfaces estándar del sistema, ¡y estas interfaces estándar se utilizan en su totalidad!
⑴ Internet Assistant agrega tres módulos de carga automática, helper.dll, YDTMain.exe y CnsMin, al elemento de clave Ejecutar en el registro HLM, y aún existen después de la desinstalación y el reinicio (Figura 20);
p>
⑵Cargue el módulo CnMinPK.sys a través del modo controlador para lograr la ocultación del proceso y no se puede detectar a través del Msconfig del propio sistema.
⑶Se logra mediante reparación y protección mutuas; entre sus múltiples módulos, para lograr instalación, reparación y carga cruzadas
(4) Al incorporar el objeto de ayuda del navegador, se realiza la carga automática de funciones
(5) A través de las opciones de reparación en el cuadro de diálogo de desinstalación de cada módulo, inducción Mientras los usuarios desinstalan un determinado módulo, reparan y cargan automáticamente otros módulos
⑹ Al incluir algunos programas de instalación de terceros, instalación automática y; La carga automática se logra durante el proceso de instalación.
Todavía hay un módulo que se reinicia automáticamente después de la desinstalación
4. Proceso de autoprotección
Como se muestra en la Figura 21, después de instalar Internet Assistant, hay Habrá tres tareas en la lista de tareas Procesos, de los cuales los dos procesos mostrados como Rundll32.exe pueden lograr una reparación cruzada automática, es decir, un proceso es el proceso demonio de otro proceso. Por lo tanto, es imposible cerrarlos exitosamente de la memoria usando el Administrador de tareas de Windows. ¡Creo que la mayoría de la gente entiende esto!
Crean múltiples procesos y pueden protegerse
5. Complementos del navegador implantados en el sistema
La Figura 22 es lo que Internet Assistant implanta automáticamente en el sistema. 8 complementos del navegador. Los navegadores de los usuarios se han convertido en una fuente de riqueza para varias empresas importantes. El resto es tan cerca como llegar a la puerta con un cuchillo y coger el dinero directamente.
Implanta automáticamente 8 tipos de complementos del navegador de una sola vez
6. Implanta automáticamente varios botones irrelevantes en la barra de herramientas del navegador
Jaja, después de la instalación, Yahoo. ! y otros botones desordenados se instalan para usted todos a la vez, incluso el administrador de recursos no se salva
7. Agregue y elimine elementos redundantes en la lista de programas en el panel de control
Sin siendo informado explícitamente, después de instalar Internet Assistant, se agregarán dos elementos de programa adicionales a la lista Agregar o quitar programas en el panel de control
No se sabe cuándo se implantaron los dos elementos de programa adicionales<. /p>
8. Tabla de servicios del sistema integrada en el sistema
Utilice la herramienta de seguridad IceSword para detectar la tabla de descripción de servicios del sistema (SSDT). Puede encontrarla además del kernel del sistema Ntoskrnl. exe, que es "CnsMinKP.sys" de 3721 e Internet Assistant. Las personas que se dedican a la programación saben qué nivel se ha alcanzado, pero los internautas comunes y corrientes están “fuera de la vista pero fuera de la mente” de todos modos. ¡Se puede ver que el trabajo duro realmente ha disminuido!
La tabla de servicios del sistema que no se puede ver a través del administrador de tareas
9 Hilos creados automáticamente
Como se puede ver en la Figura 26, el Asistente de Internet y ¡La cantidad de subprocesos creados automáticamente por el módulo es asombrosa en proporción a la cantidad total de subprocesos en el sistema! Esta imagen muestra la situación de creación del hilo cuando no se abre ningún navegador u otras ventanas relacionadas (algunas partes requieren desplazamiento para verlas).
Lista de hilos creada automáticamente
10. Gancho de mensajes ejecutándose en segundo plano
Aquellos que estén interesados pueden echar un vistazo a los tipos de ganchos en la Figura 27 y ver. 3721 ¿Qué hacen la gran cantidad de funciones de gancho que se utilizan?
Numerosos enlaces de mensajes
11. El elemento de menú "!Buscar" incrustado en el menú contextual del navegador
Jaja, el menú contextual del navegador tiene ¿Debería leerse el "! Sou Yisou" implantado al revés y de derecha a izquierda? ¿Deberían interpretarse las leyes de este mundo al revés?
Elementos del menú contextual del navegador
12. Internet Assistant Assiste.exe abre el puerto local 1028
Internet. Assistant Assistse.exe abre el puerto UDP local 1028, pero se desconoce su función.
13. Implantar la configuración de opciones de Internet
La Figura 31 es el contenido de la configuración "avanzada" implantada en las opciones de Internet. Eche un vistazo, también hay una función de "actualización automática". ¿Tiene algún método o idea nueva? ¿Puede probarlo en su sistema?
4. Análisis de la situación de desinstalación de 3721 e Internet Assistant
Alguien escribió un artículo sobre la tarjeta de red diciendo que 3721 ahora se puede desinstalar limpiamente a través de su desinstalador. ¿Es este realmente el caso? Eche un vistazo:
1. El compromiso de desinstalación de "eliminación completa" y "desinstalación completa"
Tanto 3721 Network Real Name como Internet Assistant prometen "desinstalar completamente Internet". en el programa de desinstalación. El Asistente se eliminó por completo de la computadora" y "Desinstale completamente el complemento de nombre real y desactive la función de nombre real".
2. La desinstalación completa está incompleta
Una vez que la desinstalación del nombre real de la red se realiza correctamente y se reinicia, no puede ver ningún archivo en la carpeta Windows\Archivos de programa descargados en el administrador de recursos ( incluso si configura el Explorador para que muestre todos los archivos, muestre los archivos del sistema). ¡Pero usando el famoso administrador de archivos Total Commander, encontré un archivo oculto de zsmod.dll (Figura 33)! Si desinstala Internet Assistant, después de una desinstalación y reinicio exitosos, el directorio anterior en realidad contiene 30 archivos y 1 carpeta oculta (Figura 34).
Al buscar en el editor de registro usando zsmod.dll como palabra clave, puede encontrar que este archivo no es un archivo muerto "olvidado", ¡sino que tiene un valor de clave de registro correspondiente (Figura 35)!
Después de desinstalar y reiniciar con éxito Internet Assistant, se detectó el BHO (objeto de ayuda del navegador) y se descubrió que los dos objetos BHO, YDT.DLL y CnsHook.dll, aún se conservaban en el sistema (Figura 36)!
Después de desinstalar y reiniciar con éxito Internet Assistant, se detectaron los elementos cargados automáticamente y se descubrió que todavía había tres elementos del programa cargados automáticamente: helper.dll, YDTMain.exe y CnsMin (Figura 37). )!
Luego verifique el módulo del kernel que se ha cargado en el sistema y descubra que CnsMinKP.sys cargado en forma de controlador todavía se cargó correctamente (Figura 38). Busque CnsMinKP.sys en el editor de registro. Después de una desinstalación exitosa y un reinicio, las tres claves de servicio ocultas de CnsMinKP.sys aún se conservan en el registro (Figura 39), lo que hace que la operación de desinstalación sea una completa estafa y sus funciones básicas no estén disponibles. En absoluto, ¡afectado, como máximo, falta el pequeño ícono que generalmente se muestra en la bandeja del sistema y puede brindar "servicios" a los usuarios! Por supuesto, el archivo CnsMinKP.sys en el directorio de Controladores del sistema todavía está intacto y no ha sufrido ningún daño.
Echa un vistazo al proceso del sistema. Como se muestra en la Figura 40, los tres procesos YDTMain.exe y Rundll32.exe que se protegen entre sí todavía permanecen allí en silencio.
¡Se puede ver que lo anterior es la verdad de la llamada "eliminación completa del Asistente de Internet de la computadora"!
¿De verdad quieres deshacerte de ellos por completo? Sí, desinstale manualmente los otros dos programas 3721 instalados a la fuerza que no han sido notificados en la lista Agregar y quitar programas uno por uno (¡preste atención a las opciones relevantes al desinstalar! De lo contrario, es posible que se reparen entre sí en este momento, la mayoría). de los archivos y el registro se borre.
Sin embargo, los archivos ocultos de zsmod.dll y las claves de registro relacionadas en la carpeta Windows\Archivos de programa descargados nunca se borrarán.
3721 Archivos ocultos que el administrador de recursos no puede ver después de la desinstalación y el reinicio
Una gran cantidad de archivos ocultos en el directorio del sistema después de desinstalar y reiniciar Internet Assistant (Explorador de Windows no puedo verlo de ninguna manera, Total Commander puede mostrarlo)
Desinstale los valores clave retenidos en el registro después de reiniciar
Desinstale el módulo de objetos de ayuda del navegador que aún se conserva después de reiniciar
Desinstalar elementos cargados automáticamente que aún se conservan después de reiniciar
Desinstalar módulos del kernel que aún están cargados en modo controlador después de reiniciar
Desinstalar 3 claves de servicio ocultas que aún se conservan en el registro después de reiniciar
Los procesos en segundo plano que aún se ejecutan después de desinstalar y reiniciar Internet Assistant y los botones de la barra de herramientas del navegador que aún existen
3. los módulos adicionales instalados deben desinstalarse por separado
Programas basura que se instalan a la fuerza sin ser informados explícitamente durante la instalación y requieren que los desinstalemos manualmente.
Los dos módulos adicionales instalados deben desinstalarse manualmente
4. Aún se intenta la reparación cruzada durante el proceso de desinstalación
Durante el proceso de desinstalación de estos programas adicionales. módulos, hay una opción predeterminada La opción seleccionada que comienza con la palabra "Desinstalar":
"Desinstalar Internet Assistant - Conservar Internet Assistant y otros botones después de buscar en la barra de direcciones"
Si solo viste los En la primera mitad de la oración, pensaste que habías elegido "desinstalarlos", ¡pero estás equivocado!
Se puede ver que 3721 tiene un estudio muy exhaustivo de la psicología del usuario y los hábitos de uso de la computadora, ¡y ha aprovechado al máximo todo lo que se puede usar!
Aún se intenta realizar una reparación cruzada durante la desinstalación