全面剖析雅虎助手以及網絡實名的流氓行徑
馬云走馬上任之后,推出了雅虎助手,本來以為雅虎助手和以前的3721上網助手能有一些不同,細細分析起來,流氓習氣有過之而無不及,全面揭露,觸目驚心! 雅虎助手真的能夠卸載干凈嗎? 網絡實名真的僅僅是一個中文上網這么簡單嗎? 雅虎助手對網絡甚至對國家安全的危害僅僅是您目前所認識到的嗎?
雅虎助手自稱的“詳細技術情況”真的給您知情權了嗎? 雅虎助手真的是您的什么“助手”嗎? 雅虎助手作為一種可自動安裝的、普及率極的一種網絡程序,近年來對之的爭議頗多.本文試圖從安裝、卸載、服務、系統影響等各個方面列舉系列客觀事實,有關觀點僅代表筆者個人意見,拿出來與大方之家商榷,相信大家見仁見智各有自己的結論,同時也希望以此引起有關部門的注意. 測試環境:VMWare虛擬機,共享主機連接,以獨立的公網IP地址上網;操作系統為Windows XP Pro SP2,默認安裝,僅以直接復制的方式拷貝了測試所必須的文件管理程序Total Commander、注冊表跟蹤工具Advanced Registry Tracer、抓圖工具UltraSnap、打字必須的極點五筆輸入法,未安裝其他任何軟件.
一、雅虎助手安裝剖析
1、安裝推廣由“反復提示”式為主為轉向捆綁為主 自從Windows XP SP2推出加強的安全特性后,以前頻繁出現的雅虎助手安裝提示被進行了有效抑制(圖1),因此其推廣安裝方式除傳統的通過瀏覽器植入安裝、直接下載安裝外,又開拓了在某些共享軟件和免費軟件中捆綁的方式進行安裝(圖2).新的捆綁安裝方式,雖然有安裝選項,但對于習慣了“一路回車法”安裝軟件的用戶,被順手裝入系統的可能性極大!
圖1 Windows XP SP2的安全機制給雅虎助手的安裝帶來不便
圖2 通過免費或共享軟件的捆綁并默認安裝
2、“一拖三”的安裝方式,偷偷植入另外模塊 如果被安裝上雅虎助手,則實際上同時被植入系統的并非雅虎助手一個程序,而是同時另外被靜默地植入了“網絡實名”和“雅虎郵箱通”這兩套獨立的程序.
圖3
卸載雅虎助手時,額外植入的兩套程序不會被卸載;卸載每一套程序時,卸載對話框中都添加保留另外模塊的選項,以實現非刻意卸載情況下的自我交叉修復.
3、完善的自我保護機制 從安裝、保護、卸載、修復幾個環節來看,各個環節環環相扣(圖4),任何一環沒有正確處理,則就無法實現表面的干凈卸載(真正徹底卸載除非手工清理,否則無法實現完全卸載,,后文詳述).
圖4 各個環節的保護機制環環相扣,清除不易
二、雅虎助手提供的“貼心”服務提供剖析
號稱提供各種貼心服務,其服務項目所標示的功能也非常的吸引人.我們對其中幾項進行了簡單測試,看看雅虎助手到底提供的是一些什么性質、什么質量的“服務”.
1、貼心功能不貼心 不少人看中了雅虎助手的彈出廣告過濾功能.讓我們看看真實情況! 用http://www.kephyr.com/popupkillertest的專業測試頁面進行彈出窗口過濾測試.為避免干擾,先關閉Windows XP SP2本身的彈出窗口過濾功能(沒有人會說雅虎助手的彈出窗口過濾是依賴Windows XP的SP2相關功能實現的吧?!). 測試結果,27項測試中,未能通過的有:第3項、第6項(1、2)、第8項、第9項、第10項、第11項、第12項、第16項、第17項、第20項、第21項、第22項、第24項、第26項、第27項(1、2、3),共計未通過測試的有15項(18種),過濾失敗的項目占整體的55%,失敗的種類占整體的66%(圖5).即按百分制評判,雅虎助手的彈出窗口過濾能力連及格分都沒有撈到! 而啟用Windows XP SP2的彈出窗口過濾功能,或者使用Maxthon等具有彈出窗口過濾功能的第三方瀏覽器,同樣的項目測試結果就截然不同!具體情況筆者暫不提供,大家可以自己測試對比一下,以便好好體會這位“助手”的能力!
圖5 彈出窗口過濾測試中慘不忍睹的過濾結果
2、“清理痕跡”清理了誰的痕跡? (圖6)是雅虎助手的“清理痕跡”功能測試.執行清理并得到“當前沒有網址記錄!”的結果,但打開瀏覽器的歷史側邊欄,結果如何?
圖6“痕跡清理”清理了誰的痕跡?
3、插件管理專家別有私心 打開雅虎助手的插件管理專家,其中僅僅“虛心”地把雅虎相冊(Yahoo!Photo)列了出來;但打開瀏覽器的加載項對話框,雅虎助手和雅虎助手植入的十幾個加載項卻赫然在目(圖7)!別家的插件算插件,自己偷偷植入的眾多玩藝一律不算插件,這是什么邏輯?!
圖7“插件管理專家”對自己植入的垃圾插件視而不見
4、把自己的“雅虎搜索”右鍵菜單視為系統默認菜單 再看看“恢復IE外觀”中的“清理IE右鍵菜單”功能.清理后,報告“沒有可清理的菜單!” 但實際上,在瀏覽器中右擊鼠標,“雅虎搜索”的雅虎助手附加的菜單項已經如同系統默認菜單項那樣被保存下來(圖8).
圖8 雅虎助手自動添加的右鍵菜單不算清理對象
5、自欺欺人的“清理IE工具條” 試試“清理IE工具條”的效果如何.清理后,報告“沒有可清理的工具條!”,但IE工具欄上被雅虎助手自動植入的那個帶有掃把圖標的工具條和其他幾個按鈕好好的毫發無損(圖9).難道它自己的這些就不屬于系統之外的第三方工具條嗎?工具欄按鈕清理也是如此.
圖9 雅虎助手自己的工具條不算清理對象
6、IE工具欄“重置”功能不能重置雅虎助手植入的工具欄按鈕 既然雅虎助手拒絕給我干活,那么就用IE本身的功能設置來恢復工具欄按鈕吧. 打開自定義工具欄對話框,點擊“重置”,那些被強行植入的按鈕閃動了一下,片刻又立即得到恢復(圖10).
圖10 系統的基本功能在雅虎助手的作用下已經部分失效!
7、對系統穩定性的影響 在虛擬機環境下,直接在瀏覽器地址欄輸入“清華大學”進行搜索,前后測試6次,每次都是立即藍屏(圖11). 雖然虛擬機環境與真實環境可能有一些差異,但虛擬機對內存要求較高,系統資源占用較大,據此我們不能確定在真實系統環境也是如此,但起碼可以確定,雅虎助手對系統資源的分配肯定存在某種負面影響(或者是存在某種BUG),在對資源需求較大時,會對系統產生不利影響.
圖11
三、雅虎助手對系統的寫入情況剖析
根據網絡實名網站自稱的“詳細技術原理”,我們看看真實情況是否如網站上所告知的那樣.圖12是其對用戶告知的內容.在隨后的檢測項目中,我們看看它“詳細”到什么程度,用戶和知情權體現在什么地方.
圖12 網絡實名的“詳細技術原理”
除了有專門的程序文件夾,雅虎助手還在Windows Downloaded Program Files目錄以隱藏的方式保存其文件以便快速修復;在系統驅動程序目錄植入驅動程序文件并保證安全模式(即使你不上網!)也能夠被加載并且不能被直接刪除(圖13、圖14). ①安裝網絡實名后的文件植入情況: ●Windows Downloaded Program Files目錄被植入37個文件1個文件夾; ●Windows System32 Drivers目錄植入CnMinPK.sys驅動程序文件. ●Program Files目錄植入目錄名為雅虎助手,共含15個文件和1個文件夾. 共計植入53個文件和2個子文件夾. ②安裝雅虎助手后的文件植入情況: ●Windows Downloaded Program Files目錄被植入30個文件1個文件夾; ●Windows System32 Drivers目錄植入CnMinPK.sys驅動程序文件. ●Program Files目錄植入目錄名為雅虎助手,共含79個文件和7個文件夾. 共計植入114個文件和9個子文件夾.
1、向系統植入的文件
圖13 以驅動方式植入系統,安全模式也能生效
圖14 Windows資源管理器中無法查看的隱藏文件和目錄
2、寫入的注冊表項目 據安裝前后的注冊表導出比較后得出的不完全統計,系統注冊表被寫入的內容大致如下(因瀏覽網頁等操作會導致動態修改,因此可能會有一些誤差): 安裝網絡實名后,注冊表中被寫入122個鍵項、408個鍵值; 安裝雅虎助手后,注冊表中被寫入251個鍵項、656個鍵值. 遺憾的是,按正確的方法卸載、重啟后注冊表項目仍然無法全部被清除!
3、多種途徑實現的自動加載項 網絡實名和雅虎助手聲明以標準系統接口實現自動加載,而且將這些標準接口利用得淋漓盡致! ⑴雅虎助手在注冊表HLM下面的Run鍵項中添加CnsMin、helper.dll、MiniMsgr、yassistse、YLive等多個自動加載模塊,而且卸載、重啟后仍然存在(圖15); ⑵通過驅動程序模式加載CnMinPK.sys模塊,實現進程隱藏,并且通過系統本身的Msconfig無法檢測; ⑶通過其多個模塊之間的相互修復和守護實現,實現交叉安裝、修復、加載; ⑷通過嵌入瀏覽器幫助對象,實現功能的自動加載; ⑸通過各模塊卸載對話框中的修復選項,誘導用戶在卸載某個模塊的同時,修復和自動加載另一些模塊; ⑹通過捆綁到某些第三方安裝程序,在安裝過程中實現自動安裝和自動加載.
圖15 卸載后仍然自動重啟的模塊
4、 自我守護的進程 如圖16,安裝雅虎助手后,任務列表中會存在三個進程,其中以Rundll32.exe顯示的兩個進程可以實現自動交叉修復,即一個進程是另外一個進程的守護進程.因此,使用Windows任務管理器是無法順利將它們從內存中關閉的,這點相信多數人深有體會!
圖16 創建多個進程并且可自我守護
5、 植入系統的瀏覽器加載項 圖17是雅虎助手自動植入系統中的多個瀏覽器加載項.用戶的瀏覽器成為幾大公司發財的財源基地.余下的就差沒有拿著刀子上門直接搶錢了.
圖17
6、自動植入瀏覽器工具欄的多種無關按鈕 呵呵,安裝后,瀏覽器上什么Yahoo!等亂七八糟的按鈕一股腦兒給你安裝上了,甚至連資源管理器也沒有放過.
7、控制面板添加刪除程序列表中的多余項目 在未被明確告知的情況下,安裝雅虎助手后,控制面板的添加刪除程序列表中會額外加入兩個程序項目.
8、植入系統的系統服務表 使用IceSword這款安全工具檢測系統服務描述表(SSDT),可以發現除Ntoskrnl.exe這個系統內核外,就是網絡實名和雅虎助手的“CnsMinKP.sys”了.搞編程的人知道這做到了什么級別,普通網民反正“眼不見為凈”.可見功夫真的下到了家了!(圖18)
9、自動創建的線程情況 從圖可以看出,雅虎助手及其模塊自動創建的線程數之多,在系統總體線程數的比例上是多得令人吃驚的!該圖為未打開任何瀏覽器以及其他相關窗口情況下的線程創建情況(部分需滾動才能查看)(圖19)
10、后臺運行的消息鉤子 有興趣的人可以看看圖中的鉤子類型,看看雅虎助手利用的大量鉤子函數在干些什么.(圖20)
11、植入瀏覽器右鍵菜單的“雅虎搜索”菜單項 (圖21):
12、雅虎助手yassist4.exe打開本地1028端口,作用不明(圖22)
13、植入Internet選項設置 圖是植入到Internet選項的“高級”設置的內容.看看,還有“自動升級”功能呢,有什么新的手段或主意了,再在您的系統中試試?(圖23)
四、網絡實名及雅虎助手卸載情況剖析
有人在網卡撰文說雅虎助手現在可以通過其卸載程序干凈地卸載了.事實情況真的是這樣嗎?請看——
1、“完全刪除”和“完全卸載”的卸載承諾 如圖,無論網絡實名還是雅虎助手,在卸載程序中都承諾“把雅虎助手從電腦中完全刪除”和“完全卸載實名插件并關閉實名功能”. 卸載界面的承諾(圖24)
2、完全卸載不完全 雅虎助手卸載成功并重啟后,在資源管理器中無法看到Windows Downloaded Program Files文件夾中有任何文件(即使你將資源管理器設置為顯示所有文件、顯示系統文件).但使用著名的Total Commander文件管理器,卻發現有一個zsmod.dll的隱藏文件! 雅虎助手卸載重啟后資源管理器無法看到的隱藏文件(圖25)
如果是卸載雅虎助手,卸載成功并重啟后,上述目錄居然隱藏有30個文件1個文件夾! 雅虎助手卸載重啟后系統目錄中隱藏的大量文件(Windows資源管理器無法以任何方式查看到,Total Commander可顯示)(圖26)
以zsmod.dll為關鍵字在注冊表編輯器中搜索,可以發現這個文件并非是一個被“遺忘”的死文件,而是有相應的注冊表鍵值! 卸載重啟后注冊表中的保留鍵值(圖27)
卸載雅虎助手成功并重啟后,檢測BHO(瀏覽器幫助對象),發現系統中仍然保留有YDT和CnsHook.dll這兩個BHO對象! 卸載重啟后仍然被保留的瀏覽器幫助對象模塊:(圖28)
卸載雅虎助手成功并重啟后,檢測自動加載項目,發現仍然存在helper.dll、YDTMain.exe、CnsMin三個自動加載的程序項目!(圖29)
再檢測系統已經加載的內核模塊,發現以驅動形式加載的CnsMinKP.sys仍然被成功加載!(圖30)
以CnsMinKP.sys在注冊表編輯器中搜索,卸載成功并重啟后注冊表中仍然保留CnsMinKP.sys的3處隱藏服務鍵值(圖31),使得卸載操作完全是一個騙局,其基本功能根本沒有受到影響,至多是那個一般情況下顯示在系統托盤的可以向用戶提供“服務”的小圖標不見了!當然,系統Drivers目錄中的CnsMinKP.sys文件依然完好,沒有受到任何破壞!
(圖31)
看看系統進程如何.如圖,相互守護的Rundll32.exe共3個進程仍然靜靜地在那兒! 由此可見,上述就是所謂的“把雅虎助手從電腦中完全刪除”的真相! 真的想把它們徹底清除嗎?可以,手工在添加刪除程序列表中把另外未被告知的兩個雅虎助手強行安裝的程序一一卸載(卸載時注意看清楚相關選項!否則可能又相互修復),此時絕大多數文件和注冊表被清除.但Windows Downloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關的注冊表鍵值卻永遠不會被清除!(圖32)
3、額外安裝的兩個模塊必須另行卸載 圖33就是安裝時未被明確告知就強行安裝的、需要我們手工卸載的垃圾程序.(圖33)
4、 卸載過程中仍然試圖交叉修復 卸載這些額外程序模塊的過程中,存在默認被選中的以“卸載”二字開頭的一個選項: “卸載網絡實名后保留上網助手等按鈕” 如果你操作中只看了前面半句,以為是選擇了“卸載”它們,那你就錯了! 由此可見雅虎對用戶的心理和電腦使用習慣研究得非常透徹,能夠利用的都充分利用了!(圖34)
五、雅虎助手綜合行為的法律、道德剖析
1、雅虎助手及雅虎助手的道德層面剖析
未經明確告知,強行植入其他程序模塊. 通過系統驅動的方式加載,安全模式亦無法避免.就連Windows都將帶網絡連接的安全模式作為一個單獨的項目提供給用戶,而雅虎助手則是青紅皂白,不管用戶是否使用網絡,一律加載沒商量!
2、雅虎助手及雅虎助手的法律層面剖析
額外安裝程序侵犯知情權; 卸載卸載過程中以欺騙的手段保留未經用戶許可的模塊,而且相互交叉修復; 自動感染、自動繁植、隱藏自身、占用系統資源、干擾用戶上網活動、直接或間接向系統中帶入不良數據、清除極其困難、通過多種途徑自動加載……已經具有完整的病毒特征;
3、雅虎助手及雅虎助手對國家安全及文化導向的影響
由艱苦奮斗勤儉建國轉向靡靡之音聲色犬馬的和平演變,只需借助雅虎助手; 瓦解民眾斗志,只需雅虎助手; 占領中國的宣傳陣地,只需利用雅虎助手; 主導中國的網絡安全命脈,只需掌握雅虎助手; 轉變中國網民的文化導向,只需借助雅虎助手; 對中國發動網絡癱瘓戰,只需通過雅虎助手! 所有這些,雅虎助手已經在做了,而且做得很好!
