3721

3721

3721是由周鴻禕創立的3721公司提供的中文上網服務――3721“網路實名”,是第三代中文上網方式,用戶無需記憶複雜的域名,直接在瀏覽器地址欄中輸入中文名字,就能直達企業網站或者找到企業、產品信息。當時在網路上3721被稱為“我國第一個並且是最大的流氓軟體之一”,現已停止運營。

基本信息

發展歷程

37213721

3721的名字由“三七二十一”而來。

3721公司由周鴻禕創立1998年成立至2008年,一直專注於中文上網服務,是中文上網服務的開創者和行業領導者。作為一個擁有數千萬用戶的網際網路基礎服務提供商,3721公司正在全力推動中國網際網路的中文化和本地化。

企業將自己的公司名、產品名註冊為3721網路實名,客戶輸入自己的名字就可以直達自己的網站,為企業帶來更多的商業機會。同時,3721網路實名統一企業網上網下名稱,把企業品牌、字號等網下的知名度和影響力擴大到網上,在保護品牌資源的同時,成為企業的網上招牌。2008年,已經有超過30萬家的企事業單位註冊了3721網路實名,註冊3721網路實名已經成為企業上網的第一步。

2001年10月,3721公司率先在中國網際網路企業中宣布盈利。

2003年,雅虎斥資1.2億美元收購了3721公司。

2008年,3721公司在華東、華南、華中、西北、西南設有分支機構,業務遍及中國內地所有縣級以上城市,及中國香港、中國台灣、中國澳門,擁有近4000家的渠道合作夥伴。

2009年1月4日,中國雅虎正式放棄發展3721和雅虎助手的業務的發展。

產品功能

安裝推廣

安裝推廣由“反覆提示”式為主轉向為以捆綁為主

自從Windows XP SP2推出加強的安全特性後,以前頻繁出現的3721安裝提示被進行了有效抑制(圖1),因此其推廣安裝方式除傳統的通過瀏覽器植入安裝、直接下載安裝外,又開拓了在某些共享軟體和免費軟體中捆綁的方式進行安裝(圖2)。新的捆綁安裝方式,雖然有安裝選項,但對於習慣了“一路回車法”安裝軟體的用戶,被順手裝入系統的可能性極大!

圖 1 Windows XP SP2的安全機制給3721的安裝帶來不便

圖 2 通過免費或共享軟體的捆綁並強制性安裝

安裝方式

“一拖三”的安裝方式,偷偷植入另外模組

如果被安裝上上網助手,則實際上同時被植入系統的並非上網助手一個程式,而是同時另外被靜默地植入了“地址欄搜尋”和“搜尋助手”這兩套獨立的程式(圖3)。

卸載上網助手時,額外植入的兩套程式不會被卸載;卸載每一套程式時,卸載對話框中都添加保留另外模組的選項,以實現非刻意卸載情況下的自我交叉修復。

圖 3 添加或刪除程式

保護機制

完善的自我保護機制

從安裝、保護、卸載、修復幾個環節來看,各個環節環環相扣(圖4),任何一環沒有正確處理,則就無法實現表面的乾淨卸載(真正徹底卸載除非手工清理,否則無法實現完全卸載,後文詳述)。

圖 4 各個環節的保護機制環環相扣,清除不易二、3721及上網助手提供的“貼心”服務提供剖析

號稱提供各種貼心服務,其服務項目所標示的功能也非常的人性化。我們對其中幾項進行了簡單測試,看看3721到底提供的是一些什麼性質、什麼質量的“服務”。

“清理痕跡”

“清理痕跡”清理了誰的痕跡?

上網助手的“清理痕跡”功能測試。執行清理並得到“當前沒有網址記錄!”的結果,但打開瀏覽器的歷史側邊欄,結果如何?

上網助手自己的痕跡還在。

貼心功能不貼心

貼心功能不貼心

不少人看中了上網助手的彈出廣告過濾功能。讓我們看看真實情況!

用專業測試頁面進行彈出視窗過濾測試。為避免干擾,先關閉Windows XP SP2本身的彈出視窗過濾功能(沒有人會說上網助手的彈出視窗過濾是依賴Windows XP 的SP2相關功能實現的吧?!)。

測試結果,27項測試中,未能通過的有:第3 項、第6項(1、2)、第8項、第9項、第10項、第11項、第12項、第16項、第17項、第20項、第21項、第22項、第24項、第26項、第27項(1、2、3),總計未通過測試的有15項(18種),過濾失敗的項目占整體的55%,失敗的種類占整體的66%(圖10)。即按百分制評判,上網助手的彈出視窗過濾能力連及格分都沒有撈到!

而啟用Windows XP SP2的彈出視窗過濾功能,或者使用Maxthon等具有彈出視窗過濾功能的第三方瀏覽器,同樣的項目測試結果就截然不同!具體情況筆者暫不提供,大家可以自己測試對比一下,以便好好體會這位上網“助手”的能力!

圖 10 彈出視窗過濾測試中慘不忍睹的過濾結果

外掛程式管理專家

外掛程式管理專家別有私心

打開上網助手的外掛程式管理專家,其中僅僅“虛心”地把搜尋助手列了出來;但打開瀏覽器的載入項對話框,3721和上網助手植入的十幾個載入項卻赫然在目(圖12)!別家的外掛程式算外掛程式,自己偷偷植入的眾多玩意一律不算外掛程式,這是什麼邏輯?!

圖 12 “外掛程式管理專家”對自己植入的垃圾外掛程式視而不見

"搜一搜"系統默認

6、把自己的“搜一搜”右鍵選單視為系統默認選單

再看看“恢復IE外觀”中的“清理IE右鍵選單”功能。清理後,報告“沒有可清理的選單!”

但實際上,在瀏覽器中右擊滑鼠,“!搜一搜”的3721附加的選單項已經如同系統默認選單項那樣被保存下來。令人不解的是,“!搜一搜”這種表達方式不知在中國語言學中算是一種什麼手法?

運行特點

根據網路實名網站自稱的“詳細技術原理”,我們看看真實情況是否如網站上所告知的那樣。其對用戶告知的內容。在隨後的檢測項目中,我們看看它“詳細”到什麼程度,用戶和知情權展示在什麼地方。

植入檔案

除了有專門的程式資料夾,3721還在Windows\Downloaded Program Files目錄以隱藏的方式保存其檔案以便快速修復;在系統驅動程式目錄植入驅動程式檔案並保證安全模式(即使你不上網!)也能夠被載入並且不能被直接刪除!

①安裝3721後的檔案植入情況:

總計植入165個檔案和11個子資料夾!

註冊表

據安裝前後的註冊表導出比較後得出的不完全統計,系統註冊表被寫入的內容大致如下(因瀏覽網頁等操作會導致動態修改,因此可能會有一些誤差):

安裝3721後,註冊表中被寫入373個鍵項、1064個鍵值!

遺憾的是,按正確的方法卸載、重啟後註冊表項目仍然無法全部被清除!

自動載入項

3721聲明以標準系統接口實現自動載入,而且將這些標準接口利用得淋漓盡致!

⑴上網助手在註冊表HLM下面的Run鍵項中添加helper.dll、YDTMain.exe、CnsMin三個自動載入模組,而且卸載、重啟後仍然存在;

⑵通過驅動程式模式載入CnMinPK.sys模組,實現進程隱藏,並且通過系統本身的Msconfig無法檢測;

⑶通過其多個模組之間的相互修復和守護實現,實現交叉安裝、修復、載入;

⑷通過嵌入瀏覽器幫助對象,實現功能的自動載入;

⑸通過各模組卸載對話框中的修複選項,誘導用戶在卸載某個模組的同時,修復和自動載入另一些模組;

⑹通過捆綁到某些第三方安裝程式,在安裝過程中實現自動安裝和自動載入。

進程

安裝3721後,任務列表中會存在三個進程,其中以Rundll32.exe顯示的兩個進程可以實現自動交叉修復,即一個進程是另外一個進程的守護進程。因此,使用Windows任務管理器是無法順利將它們從記憶體中關閉的,這點相信多數人深有體會!

瀏覽器載入項

是上網助手自動植入系統中的8種瀏覽器載入項。用戶的瀏覽器成為幾大公司發財的財源基地。餘下的就差沒有拿著刀子上門直接搶錢了。

自動植入按鈕

呵呵,安裝後,瀏覽器上什麼Yahoo!等亂七八糟的按鈕一股腦兒給你安裝上了,甚至連資源管理器也沒有放過。

控制臺多餘項目

在未被明確告知的情況下,安裝上網助手後,控制臺的添加刪除程式列表中會額外加入兩個程式項目。

系統服務表

使用IceSword這款安全工具檢測系統服務描述表(SSDT),可以發現除Ntoskrnl.exe這個系統核心外,就是3721和上網助手的“CnsMinKP.sys”了。搞編程的人知道這做到了什麼級別,普通網民反正“眼不見為淨”。可見功夫真的下到了家了!

執行緒

上網助手及其模組自動創建的執行緒數之多,在系統總體執行緒數的比例上是多得令人吃驚的!該圖為未打開任何瀏覽器以及其他相關視窗情況下的執行緒創建情況(部分需滾動才能查看)。

後台運行的訊息鉤子

有興趣的人可以看看圖27中的鉤子類型,看看3721利用的大量鉤子函式在幹些什麼。

植入瀏覽器右鍵選單的“搜一搜”選單項

呵呵,瀏覽器右鍵選單中被植入的“!搜一搜”是不是該倒過來從右向左讀?這個世界的法則是不是也要倒過來解讀?

上網助手Assistse.exe打開本地1028連線埠

,上網助手Assistse.exe打開本地UDP 1028連線埠,作用不明。

植入Internet選項設定

植入到Internet選項的“高級”設定的內容。看看,還有“自動升級”功能呢,有什麼新的手段或主意了,再在您的系統中試試。

相關詞條

相關搜尋

熱門詞條

聯絡我們