电脑高手论坛

 找回密码
 注册
搜索
热搜: 活动 交友 discuz
查看: 10358|回复: 2

[zz]两会期间临时抱佛脚 CNNIC悄然消灭部分罪证

[复制链接]
发表于 2007-3-17 11:58:32 | 显示全部楼层 |阅读模式
1、CNNIC强制升级了新发布的客户端,强制删除它自身带有的保护型驱动,这其中就包括臭名昭著的fsdinlinehook技术.充分证明现在的流氓软件有足够的能力,短时间内销毁自己作恶的证据,因此,恶意软件从技术上是很难判定的,用一个版本洗白,或者用一个时间段洗白,然后享受作恶带来的胜利果实,是恶意软件制作者的如意算盘!

2、从技术角度上说,随意的增加或者取消系统底层驱动,都可能给用户的机器带来灾难性的后果,如蓝屏,无法进入系统等.CNNIC为一己私立,置用户利益于不顾,爱加则加,爱删则删,完全违背了国家主管机构的初衷.用户的机器被这样不负责任的软件控制,相当危险.

具体跟踪到的过程如下:

CNNIC中文上网于3-14 13:23:51更改了其升级配置文件

cdnvers.dat

对其进行比较后发现

更新部分为将以下几个文件的版本号清零:

cdnns.dll 原版本:2.0.0.0  新版本:0.0.0.0

cdnprot.sys 原版本:2.4.0.27 新版本:0.0.0.0

cdnprot.vxd 原版本:2.1.0.0 新版本:0.0.0.0

cdnprot.dat 原版本:2.2.0.22 新版本:0.0.0.0

以上四个文件就是CNNIC的保护核心

cdnprot.sys和cdnprot.vxd是保护驱动,会进行Fsd inline hook,native api hook,native api inline hook,fsd dispatch hook 等恶意行为

cdnprot.dat是cdnprot保护驱动的打击配置文件,决定了cnnic会对那些产品进行打击(目前包括对3721、腾讯、360等的打击配置)

cdnns.dll是应用层控制cdnprot驱动的程序,位于c:windowssystem32

CNNIC同时修改了其网站上的安装包,将这4个文件从安装包中去除

这样做的结果就是安装新的CNNIC后,不再会留有其保护驱动,它可以被直接清除,也就不存在难以卸载的恶意行为,新安装的程序也不会去升级那4个文件,但对已经安装CNNIC的用户来说,这4个文件仍然会存在并起作用,另外由于其升级模块仍然存在,因此只要CNNIC将服务器上cdnvers.dat这4个文件的版本号改回,那些新安装的CNNIC用户仍然会下载启动CNNIC的保护机制.

消息来源:17Tech

---------------------------------------
太冷了……
发表于 2007-7-5 13:41:59 | 显示全部楼层
呵,刚高考完,以前是cm的fans, 现在才有点时间来看看. 真的很冷啊这
发表于 2007-9-4 18:25:05 | 显示全部楼层
够猛的阿,流氓软件还比病毒强点阿
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|cmaster.org

GMT+8, 2024-3-29 06:19 PM , Processed in 0.010671 second(s), 16 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表