我是计算机初学者。哪位专家能告诉我该不该按上网助手？

3721与互联网助手综合分析

作者:合肥工业大学imxk日期:2005年6月27日

3721真的能卸载干净吗？

3721真的是中文上网那么简单吗？

3721对网络乃至国家安全的危害只是你目前意识到的吗？

3721自称的“详细技术情况”真的给你知情权了吗？

3721上网助手真的是你的“助手”吗？

完整的披露令人震惊！

3721作为一个可以自动安装并且拥有非常广泛普及性的网络程序，近年来一直备受争议。本文试图从安装、卸载、服务、系统影响等方面列举一系列客观事实。相关观点仅代表作者个人观点，相信每个人都有自己的结论，希望引起相关部门的重视。

测试环境:VMWare虚拟机，* * *享受主机连接，用独立的公网IP地址接入互联网；操作系统是默认安装的Windows XP Pro SP2。只直接复制文件管理程序Total Commander、注册表跟踪工具Advanced Registry Tracer、快照工具UltraSnap和打字必备的五笔输入法，不安装其他软件。此外，有些图片以重叠的方式显示多张图片的内容，以节省空间。

一、3721安装分析

1.安装推广以“反复提示”和转向捆绑为主。

自从在Windows XP SP2中引入增强的安全功能后，3721的频繁安装提示得到了有效抑制(图1)。因此，推广安装方式除了传统的通过浏览器植入、直接下载的方式安装外，还发展了与一些* * *软件、免费软件捆绑的方式(图2)。虽然新的捆绑安装方式中有安装选项，但是习惯了“全程回车方式”的用户很有可能会被方便地加载到系统中！

图1 Windows XP SP2的安全机制给3721的安装带来不便。

图2通过免费或* * *，默认捆绑安装软件。

2.“一拖三”的安装方式，偷偷植入另一个模块。

如果安装了上网助手，其实并不是上网助手的一个程序同时被植入系统，而是同时默默植入了“地址栏搜索”和“搜索助手”两个独立的程序(图3)。

卸载互联网助手时，不会卸载另外两个程序；在卸载每一套程序时，在卸载对话框中增加了保留其他模块的选项，实现自我交叉修复，无需刻意卸载。

图3

3.完善的自我保护机制

从安装、防护、卸载、维修等方面来看，各个环节都是紧密相连的(图4)。任何一个环节处理不当，都无法实现表面的干净卸载(除非人工清理，否则无法实现完全卸载，后面会详细介绍)。

图4每个环节的保护机制都是互锁的，不容易拆除。

二、3721与互联网助手提供的“贴心”服务分析

它号称提供各种贴心服务，其服务项目标注的功能也很不错。我们对其中的几个进行了一个简单的测试，看看3721提供了什么样的“服务”和质量。

1，黄毒横行。

3721安装上网助手后，在没有通知的情况下，在浏览器地址栏植入了20多个网址列表，其内容无外乎色情、娱乐、赚钱等(图5)。

从其强行植入地址栏的网址列表来看，装有3721或上网助手的电脑，不折不扣地成了“不适合儿童”的电脑！

看一下“美女如云-654.38+0.5亿张图片”的强行植入链接，随意点几个链接。于是乎(如图6)，“裸体”、“自拍”、“三星级电影”、“勾引荒淫少妇”、“酒店偷房”、“无限激情”等难听的词汇就涌上心头。

如果具体内容条款和其他伙伴有关，那就看看3721推荐的“美人如云-15亿图心情体验”主页面，有哪些类别的“波霸”“色情”让人印象深刻(图7)。

我们来看看3721推荐的“快速宽带影院”(图8)。性爱日记，姐妹情色，村妓，出轨家庭占了大部分内容。你能从中找到哪怕一点点健康、积极、向上的内容吗？！

这是3721和互联网助手提供的服务中内容口味的冰山一角。

图5浏览器地址栏自动植入浏览器的URL列表

图6自动填充浏览器地址历史中的一个链接内容。

图7历史链接的第二部分自动植入浏览器地址栏。

图8历史链接的第3部分自动植入浏览器地址栏。

2.“网络钓鱼”如火如荼

除了以上明目张胆的色情(公开传播的内容中，哪一条不是色情，哪一条不是色情？)推广，它也采用了钓鱼的方式来引诱点击:打着“免费电影”的幌子，在播放器上贴满广告，当用户点击播放器时，就会触发对广告的点击(图9)。

这种点击的诱惑只是一种方式。有了这种“高级”的方式，还有什么做不到的？

图9浏览器地址栏历史链接中自动植入的免费电影(钓鱼:通过叠加Flash广告和播放按钮引诱用户点击)。在此设定不显示Flash以暴露其重叠的帧结构)

3.贴心功能不贴心

很多人看中了互联网助手的弹窗广告过滤功能。来看看真实情况吧！

使用/popupkillertest的专业测试页面进行弹窗过滤测试。为了避免干扰，先关闭Windows XP SP2本身的弹窗过滤功能(没有人会说互联网助手的弹窗过滤依赖于Windows XP SP2的相关功能吧？！)。

测试结果，27项测试中，不合格项:第3项，第6项(1，2)，第8项，第9项，第10项，第11项，第12项，第16项，第1项。* * *有15项(18项)测试不合格，55%的项目过滤不合格，66%的项目不合格(图10)。也就是说，以百分制来看，互联网助手的弹窗过滤能力连个及格分都没有！

启用Windows XP SP2的弹出过滤功能，或者使用傲游等具有弹出过滤功能的第三方浏览器，同一个项目的测试结果完全不同！具体信息我暂时不提供，大家可以自己测试对比，好好体验一下这种在线“助手”能力！

图10弹出窗口过滤测试中可怕的过滤结果

4.“清理痕迹”到底清理了谁的痕迹？

图11是上网助手的“痕迹清理”功能测试。执行清理，得到“目前没有网址记录！”但是打开浏览器的历史侧边栏，结果是什么？

图11谁的痕迹被“痕迹清理”了？

5.外挂管理专家别有用心。

打开互联网助手的插件管理专家，其中只有搜索助手被“谦虚”地列出；但是当你打开浏览器的加载项对话框，3721和互联网助手植入的十几个加载项就让人印象深刻了(图12)！其他国家的插件都是插件，自己偷偷植入的很多小玩意都不是插件。这是什么逻辑？！

图12“插件管理专家”对自己的垃圾插件视而不见。

6.将您的“搜索”右键菜单视为系统默认菜单。

我们来看看“恢复IE外观”中“清理IE右键菜单”的功能。清洗后，报告“没有菜单要清洗！”

但实际上，在浏览器中右击鼠标，“！搜索的附加菜单项3721”已被保存为系统的默认菜单项(图13)。令人费解的是，“！中国语言学中的“搜”是什么表达？

图13 3721自动添加的右键菜单不是清洗对象。

7、自欺欺人的“清理IE工具栏”

试试“清理IE工具栏”的效果。清理后报告“无工具栏可清理！”但是3721自动植入IE工具栏的带有扫帚图标的工具栏和其他几个按钮完好无损(图14)。它自己的这些不属于系统外的第三方工具栏吗？工具栏按钮清理也是如此。

图14清理IE工具栏结果

8.IE工具栏的“重置”功能无法重置3721植入的工具栏按钮。

既然互联网助手拒绝为我工作，我就用IE自带的功能设置恢复工具栏按钮。

打开自定义工具栏对话框，点击“重置”，那些强行植入的按钮会闪烁一会儿，然后马上恢复(图15)。

系统基本功能在3721的作用下已经部分失效！

图15工具栏按钮"重置"后的效果

9.对系统稳定性的影响

在虚拟机环境下，直接在浏览器地址栏输入“河工大”进行搜索，前后测试6次，每次都是马上蓝屏(图16)。

虽然虚拟机环境和真实环境之间可能存在一些差异，但是虚拟机需要很高的内存并占用大量的系统资源。基于此，我们不能确定在真实的系统环境中也是如此，但至少可以确定，搜索助手一定对系统资源的分配产生了某种负面影响(或者某种BUG)，在资源需求较大的情况下，会对系统产生不利影响。

图16在半个工作日的搜索测试中，系统蓝屏6次。

第三，3721写入系统。

根据网络实名网站自称的“详细技术原理”，我们来看看真实情况是否如网站上所说。图17是它告诉用户的。在后续的测试项目中，我们来看看它“详细”到什么程度，用户和知情权体现在哪里。

图17网络实名“详细技术原理”

1.植入系统的文件

3721除了有专门的程序文件夹，还将其文件以隐藏的方式保存在Windows\Downloaded Program Files目录下，以便快速修复；在系统驱动目录中植入驱动文件并确保安全模式(即使不在线！)也可以加载，不能直接删除(图18，图19)。

①安装3721后的文件植入:

Windows \下载程序文件的目录填充了37个文件和1个文件夹；

● Windows\System32\Drivers目录中填充了CnMinPK.sys驱动程序文件。

●程序文件目录名为3721，* *包含15个文件和1个文件夹。

* * *有53个文件和2个子文件夹。

(2)安装互联网助手后的文件植入:

●Windows \ downloaded program files目录包含30个文件和1个文件夹；

● Windows\System32\Drivers目录中填充了CnMinPK.sys驱动程序文件。

●程序文件目录名为3721，* * *包含79个文件和7个文件夹。

●程序文件目录名为YDT，* * *包含4个文件和1个文件夹。

* * *有114个文件和9个子文件夹。

图18当系统植入驾驶模式时，安全模式也可以生效。

图19无法在Windows资源管理器中查看的隐藏文件和目录

2.书面注册表条目

根据安装前后注册表导出比较后得到的不完全统计，系统注册表中写入的内容大致如下(由于浏览网页导致的动态修改可能会有一些错误):

安装3721后，注册表中写入122项和408项值。

安装Internet Assistant后，注册表中写入了251项和656个键值。

遗憾的是，正确卸载并重启后，所有注册表项仍然无法清除！

3、多种方式实现自动加载项。

3721声明自动加载是通过标准系统接口实现的，这些标准接口被充分利用！

(1)互联网助手在注册表HLM下的Run key项中添加了helper.dll、YDTMain.exe、CnsMin三个自动加载模块，卸载重启后依然存在(图20)；

⑵通过驱动方式加载CnMinPK.sys模块，实现进程隐藏，无法通过系统本身的Msconfig检测；

⑶通过多个模块之间的互修互护，实现交叉安装、维修和装载；

⑷通过嵌入浏览器帮助对象实现功能的自动加载；

⑸通过模块卸载对话框中的修复选项，在卸载一个模块的同时，诱导用户修复并自动加载其他模块；

[6]通过绑定一些第三方安装程序，可以在安装过程中实现自动安装和自动加载。

图20卸载后仍自动重启的模块

4、自我保护的过程

如图21所示，安装互联网助手后，任务列表中会出现三个进程，其中Rundll32.exe显示的两个进程可以实现自动交叉修复，即一个进程是另一个进程的守护进程。所以用Windows任务管理器是不可能从内存中成功关闭它们的，这一点相信大多数人都深有体会！

图21创建多个进程，可以自我保护。

5.嵌入系统的浏览器插件。

图22示出了自动互联网助理植入系统中的八个浏览器插件。用户的浏览器已经成为几大公司发财的金融基础。剩下的只是没拿刀上门直接抢钱。

图22一口气自动填充了8个浏览器插件。

6.在浏览器工具栏中自动植入各种无关按钮。

呵呵，装了之后，浏览器上什么雅虎啊！当乱七八糟的按钮都给你装好了，连资源管理器都没放过(图23，够甜了)。

图23浏览器中的强制按钮

7.控制面板添加和删除程序列表中的冗余项目。

在没有明确通知的情况下，安装Internet Assistant后，两个附加程序项将被添加到控制面板的添加/删除程序列表中(图24)。

图24。不知道多出来的两个模块是什么时候植入的。

8.植入系统的系统服务表

用安全工具IceSword检测系统服务描述表(SSDT)，可以发现除了Ntoskrnl.exe，就是3721和互联网助手的“CnsMinKP.sys”。程序员都知道这达到了什么水平，普通网民反正是“眼不见为净”。可见功夫真的到家了！

图25无法通过任务管理器查看的系统服务表

9.自动创建的线程

从图26可以看出，互联网助手及其模块自动创建的线程数量在系统线程总数中所占的比例大得惊人！这张图片显示了在不打开任何浏览器和其他相关窗口的情况下创建线程的过程(其中一些窗口需要滚动才能查看)。

图26自动创建的线程列表

10，消息钩子在后台运行

感兴趣的人可以看看图27中的钩子类型，看看3721用大量钩子函数做什么。

图27众多的消息挂钩

11."!搜索”菜单项

呵呵，植入的”！“搜索”应该从右往左倒着读吗？这个世界的规律应该反过来解读吗(图28)？

图28浏览器右键菜单项

12，互联网助手Assistse.exe打开1028本地端口。

如图29所示，互联网助手Assistse.exe打开了本地UDP 1028端口，该端口的功能未知。

图29端口打开

13，植入互联网选项设置

图31是“高级”设置植入互联网选项的内容。看，还有“自动升级”功能。有什么新的手段或想法？在你的系统里再试一次？

图31互联网选项中植入的内容

4.3721与互联网助手卸载分析

有人在网卡上写道，3721现在可以通过它的卸载程序干净卸载了。真的是这样吗？请看看-

1的卸载承诺，“完全删除”和“完全卸载”

如图32所示，3721网络实名和上网助手均在卸载程序中承诺“从电脑中彻底删除上网助手”和“彻底卸载实名插件，关闭实名功能”。

图32卸载接口的提交

2.完全卸载是不完整的

网络实名卸载成功重启后，在浏览器中的Windows\Downloaded Program Files文件夹中看不到任何文件(即使设置浏览器显示所有文件和系统文件)。但是使用著名的总指挥官文件管理器，我发现了zsmod.dll的隐藏文件(图33)！如果卸载互联网助手，卸载成功重启后，上面的目录中居然隐藏了30个文件和1个文件夹(图34)！

在注册表编辑器中以zsmod.dll为关键字进行搜索，可以发现这个文件并不是一个“被遗忘”的死文件，而是有对应的注册表键值(图35)！

成功卸载并重启互联网助手后，我们检测到了BHO(浏览器帮助对象)，发现系统中还有still和CnsHook.dll两个BHO对象(图36)！

成功卸载并重启互联网助手后，我们对自动加载项进行了检测，发现仍然有三个自动加载程序项:helper.dll、YDTMain.exe、CnsMin(图37)！

重新检查系统已经加载的内核模块，发现以驱动程序形式加载的CnsMinKP.sys仍然加载成功(图38)！用CnsMinKP.sys在注册表编辑器中搜索，成功卸载重启后，注册表中仍然保留了cnsminkp.sys的三个隐藏服务键值(图39)，这使得卸载操作完全是一个骗局，其基本功能完全不受影响。最多就是系统托盘里显示的能给用户提供“服务”的小图标不见了！当然，系统驱动目录下的CnsMinKP.sys文件还是完好的，没有被破坏！

看系统怎么走。如图40，三个进程，YDTMain.exe和Rundll32.exe***3 * *互相守护，还在那里静静的！

可见，以上就是所谓的“电脑彻底删除上网助手”的真相！

你真的想彻底摆脱他们吗？可以，在添加/删除程序列表中手动卸载另外两个被3721强行安装的程序(卸载时注意相关选项！否则，它们可能会互相修复)。此时，大多数文件和注册表都被清除。但是zsmod.dll在Windows\Downloaded Program Files文件夹中的隐藏文件和相关注册表键值永远不会被清除！

图33 3721卸载重启后资源管理器看不到的隐藏文件。

图34互联网助手重启后卸载大量隐藏在系统目录下的文件(Windows Explorer无法以任何方式查看，但Total Commander可以显示)。

图35卸载和重启后注册表中保留的键值

图36。卸载并重新启动后仍保留的浏览器帮助对象模块。

图37卸载和重启后仍保留的自动加载项目。

图38。卸载并重新启动后，内核模块仍以驱动模式加载。

图39三个隐藏的服务键值在卸载和重启后仍然保留在注册表中。

图40。互联网助手卸载重启后仍在运行的后台进程和仍然存在的浏览器工具栏按钮。

3.这两个附加模块必须单独卸载。

图43是一个垃圾程序，安装时没有明确告知就强行安装，需要我们手动卸载。

图43必须手动卸载两个附加模块。

4.卸载期间仍会尝试交叉修复。

在卸载这些额外程序模块的过程中，有一个以默认选中的单词“uninstall”开头的选项:

“卸载互联网助手-在地址栏中搜索后保留互联网助手和其他按钮”

如果你只看了前半句就认为你选择了“卸载”它们，那你就错了！

这说明3721对用户的心理和电脑使用习惯进行了深入的研究，充分利用了一切可以利用的东西！

图44卸载期间仍尝试交叉修复。

动词 （verb的缩写）3721综合行为的法律与道德分析

1、3721与网络助手道德水平分析

什么“裸体”、“自拍”、“三星级电影”、“诱奸荒淫少妇”、“酒店偷房”、“无限激情”都亵渎了网友的品味。对青少年产生极其恶劣的误导和诱惑；污染了网络环境。

在没有明确通知的情况下强行植入其他程序模块。

系统驱动加载无法避免安全模式。连Windows都是把带网络连接的安全模式作为单独的项目提供给用户，而3721则是不分青红皂白。无论用户是否使用网络，加载都没有商量的余地！

2.3721与网络助手的法律分析

额外安装程序侵犯了知情权；

强行植入不适合儿童的网址链接，忽视对未成年人权益的保护；

宣扬色情；

引入黄毒；

卸载过程中，欺骗保留未经用户许可的模块，交叉修复；

自动感染、自动传播、隐藏自身、占用系统资源、干扰用户上网活动、直接或间接将不良数据带入系统、极难清除、通过各种渠道自动加载...具有完整的病毒特征；

提供不良内容下载...

3.3721和互联网助手对国家安全和文化导向的影响

从勤俭节约到颓废音乐的和平演变，我们只需要3721；

瓦解人民斗志只需要3721；

在国内要占领宣传阵地，用3721就行；

要主宰中国的网络安全命脉，只需要掌握3721；

改变中国网民的文化取向，只需要3721；

要对中国发动网络瘫痪战，只要通过3721！

…………

防火墙的概念

当然，既然打算由浅入深的了解，那就要先看看防火墙的概念。防火墙是汽车中一个部件的名称。在汽车中，使用防火墙将乘客与发动机隔开，这样一旦发动机着火，防火墙不仅可以保护乘客的安全，还可以让驾驶员继续控制发动机。用计算机术语来说，当然不是这个意思。我们可以类比理解。在网络中，所谓“防火墙”是指一种将内网与公共接入网(如互联网)隔离的方法，实际上是一种隔离技术。防火墙是两个网络通信时实施的一种访问控制措施。它可以让你“同意”的人和数据进入你的网络，同时把你“不同意”的人和数据拒之门外，最大限度地防止网络中的黑客访问你的网络。换句话说，如果你不通过防火墙，公司内部的人就无法访问互联网，互联网上的人也无法与公司内部的人交流。

防火墙的功能

防火墙是网络安全的屏障；

防火墙(作为阻挡点和控制点)可以通过过滤不安全的服务来大大提高内部网络的安全性并降低风险。因为只有精心选择的应用协议才能通过防火墙，所以网络环境变得更加安全。例如，防火墙可以禁止众所周知的不安全NFS协议进入或离开受保护的网络，因此外部攻击者不可能使用这些脆弱的协议来攻击内部网络。防火墙还可以保护网络免受基于路由的攻击，例如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该能够拒绝上述攻击类型的所有消息，并通知防火墙管理员。

防火墙可以加强网络安全策略:

通过以防火墙为中心的安全方案配置，所有安全软件(如密码、加密、认证、审计等。)可以在防火墙上配置。相对于将网络安全问题分散到各个主机，防火墙的集中安全管理更经济。比如在网络访问中，一次性密码系统等认证系统可以集中在防火墙上，而不是分散在各个主机上。

监控和审计网络接入和访问:

如果所有的访问都经过防火墙，那么防火墙就可以记录这些访问并做日志记录，同时还可以提供网络使用情况的统计数据。当可疑行为发生时，防火墙可以发出适当的警报，并提供有关网络是否受到监控或攻击的详细信息。另外，收集一个网络的使用情况和误用情况也是非常重要的。第一个原因是明确防火墙是否能抵御攻击者的检测和攻击，防火墙的控制是否充分。网络使用统计对于网络需求分析和威胁分析也非常重要。

防止内部信息泄露:

通过使用防火墙划分内部网络，可以隔离内部网络的关键网段，从而限制本地关键或敏感网络安全问题对全局网络的影响。此外，隐私是内部网络非常关心的问题。一个内部网络中不起眼的细节，可能蕴含着安全方面的线索，引起外部攻击者的兴趣，甚至暴露出内部网络的一些安全漏洞。使用防火墙可以隐藏那些泄露内部细节的服务，如Finger和DNS。手指显示该主机所有用户的注册名称、真实姓名、上次登录时间和外壳类型。但是手指显示的信息非常容易被攻击者获知。攻击者可以知道一个系统的使用频率，是否有用户在线，系统被攻击时是否引人注意等等。防火墙还可以阻止有关内部网络的DNS信息，这样主机的域名和IP地址就不会为外界所知。

除了安全功能外，防火墙还支持VPN(虚拟专用网)，这是一种具有互联网服务特性的企业内部网络技术系统。