亚洲色一色噜一噜噜噜_在线国产精品一区二区_91国自产拍 精品_国产伦三级一区二区

    • <object id="nlumt"><tt id="nlumt"><pre id="nlumt"></pre></tt></object>

    <legend id="nlumt"><mark id="nlumt"></mark></legend>
    <pre id="nlumt"><tt id="nlumt"><rt id="nlumt"></rt></tt></pre>
    <bdo id="nlumt"><delect id="nlumt"></delect></bdo>

      

      汶上信息港
      
標題: 優(yōu)化大師流氓行徑分析及修復方案 [打印本頁]
      

      
作者: 秋官    時間: 2009-5-7 10:16
      
標題: 優(yōu)化大師流氓行徑分析及修復方案
      自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn),自己的電腦中多了一些不明文件及程序,并且搜索引擎被強行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題、尋求解答。但眾多用戶的反映卻未收到官方任何回應,反而被一一刪帖。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文,引起各方關注,官方才匆匆發(fā)出一個公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序,對網(wǎng)友反應的其它問題卻只字未提。 
      
. O1 N! [8 s& k2 l: v4 |1 f" n8 ]1 l' _1 j2 \+ i4 c
      
  做為多年的優(yōu)化大師使用者,筆者也是第一時間趕到官方論壇,本著對優(yōu)化大師多年良好聲譽的信任,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法,然而,卻遭受到了刪貼、封IP、鎖ID的待遇。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應,不禁令筆者疑竇叢生,于是對此版本軟件進行了詳盡測試,并參考一些網(wǎng)友的反饋,得出結(jié)果令人大跌眼鏡。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的: 
      
' S1 |  d1 P/ R: l( _3 ?# L- f, ~% N8 |' O+ v9 ]  P. a  M
      
  1、強制安裝GAMEHALL游戲大廳: 
      
6 ^1 _3 @% {1 \+ y$ m- ~3 U. t) I2 A8 }) {3 H
      
  默認安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式。 4 b4 y+ r: X9 R( c
      
  W! f6 C: @  L- Q4 ~
      
  2、強制添加并篡改IE搜索引擎: 
      
* \5 f5 _7 F7 Y0 ^3 e" Y, M5 v9 P& F# n) k+ e
      
  安裝新版Windows優(yōu)化大師后,即使不選擇任何設置,系統(tǒng)注冊表會被修改,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測): 8 o: ]8 g' l) Z+ ]; }8 h5 W  o/ U1 ]
      

      
6 g% C" h$ B# x2 A; E* `! F  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] 
      
2 u4 |9 C4 y- W3 ^$ O" G, x- y0 {4 K: P, X* o
      
  "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" , y3 Y7 c) R; y$ ~$ L7 _. x
      
) g. V* i+ \: H; o3 r
      
  "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" 3 }1 f* D( f' m2 r* n7 q
      
5 m$ S2 l2 I% m! h$ }9 a1 P
      
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wom] 1 `" S) k& N+ x3 w
      
4 a+ j2 c, ^4 g0 T& z2 w
      
  "Masters"="0F0F0F0F" 
      
& u( Q, @* X. b$ {) ^" |% S8 S: R( \* ]& F% k
      
  "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" 8 }5 A4 Y% {8 J* w
      

      
7 X5 q4 Q: ?: t' d9 u  e5 Y  "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" 4 m1 Q, e& b8 O. ?' K
      

      
. K2 H! a; @: X1 ~1 j  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] 9 Y" G. B7 s) T" e3 M
      

      
. n3 D8 q6 H1 x7 G: ]" T  "DefaultScope"="Baidu" 
      
" ]4 ^7 {+ W- r/ Y9 y! z5 E; a" l* |' \" [1 h! M
      
  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] . n0 s: v+ h7 n$ j1 N' s- n
      
+ h$ v, U% K6 B! A- b. h
      
  "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" ( K5 `+ w7 M& t. B8 Q" [
      

      
! C' U) b9 y7 c0 t/ @3 w5 a  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] 
      
% J& n) {& K. H% I2 E2 y* a' ~
      
* `: q/ W2 t* u  "Codepage"=dword:0000FDE9 
      
/ g/ S, y2 ]! p/ H) X
      
3 L; v, r; V  ^! q6 t. b6 i$ l  "DisplayName"="百度搜索" 9 D( [$ U- U, i. B3 ]. [$ Q
      

      
! [* G/ k8 J1 k& r) _  k, A5 M  "SortIndex"=dword:FFFFFFFD 
      
. g- i- K8 X' d* F5 ]
      
) [" p9 y& j+ s4 x/ S# D2 d; d  "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 
      
" _% ^. r% }$ W4 V7 A) k) b( l  n
      
  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] 
      
7 ]* A) Q) e# ~( T/ O
      
. e- j* Z4 n( P8 w/ p4 k5 K( F0 m, f  "Codepage"=dword:000003A8 
      
& n6 Q6 C, s& y7 x
      
' W) l. g  I, }2 f7 u+ H  "DisplayName"="谷歌搜索" 
      
" }) S4 c( F/ L" @. t% v! u' o' n( u4 N1 C! v' ^. z3 Z
      
  "SortIndex"=dword:FFFFFFFE 
      
3 Y) l5 n5 k; c/ c: g* v+ E. q- M
      
, S) }: E) v' T( W  "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" : J& H3 T- W6 S0 I, k' Q) m! c9 `
      

      
; c  T9 u6 g0 H& `! F' g4 S  [HKEY_CURRENT_USER\Software\Microsoft\Windows] 
      
5 y* y# V! Y+ ?- ^8 _1 D( X
      
" C# m2 ^  h* C9 J1 l- B/ t$ H  B  "Verion"="0013E86C8919" ) C' L: }9 [7 W; F1 u2 e
      
' J4 g6 B7 s* Q% X& x* Z) v2 s
      
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] 7 `2 K# T7 Z8 ?( `! `
      
: _- Q# ?) s7 G5 E. G# K+ H0 ~
      
  "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ 2 p* r2 g0 C. |3 Y5 Q
      
& _% \6 B4 F. ~! s( x
      
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ + ]% P+ E+ m9 q& E. R! t  }3 z
      
0 Q9 ~3 [% m  ^( j9 n* P
      
  01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 # Q' @" |0 D4 c! Y" G. l
      

      
; W+ t, G1 K; s# o& A7 v' j  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] ; A3 S7 F7 w% L" G
      

      
2 H1 l) e  o  s  X& e6 L5 _  "1803"=dword:00000001 
      
. O1 F( e9 P- }: f; U2 p) f2 y, z+ g# `; Y2 i1 X8 p6 I+ x
      
  同時中途可能會連接以下不明網(wǎng)址: 
      
) k7 Y; C+ D* n; g
      
/ G$ J$ k+ U3 d9 z/ }5 N  www.930930.com 
      
/ d$ I9 n- y5 ]  F7 D3 \
      
+ I, S' B* c, x' i2 O8 E  www.304304.com 
      
* v8 C. f  T& m. p- U6 b) K. |
      
, S, s* K. f2 `, X- R6 J5 [  www.072072.com % |5 {& q: z$ Q+ y
      
8 e" p" A" ?! w  P
      
  072072.com 
      
3 P4 B; f" [3 V8 |$ Z' U# L( f' p0 y; t  \% N) s
      
  www.146146.com % \* `3 V$ Y) \3 X
      

      
& a$ L+ J& {1 L5 V: M( d$ |8 R( S  146146.com ' t9 F0 c% o9 z# y9 \5 K( f
      
6 k# b" j2 w, `! Z. ^
      
  397397.com 1 e# `' d8 S% |# t( V6 Z; y. h4 j
      

      
" H7 a) C5 [6 c! i  265.com   ^; i9 d1 d) T- z! n- l& ]
      
  k$ C; T0 x2 ~0 w+ s) D
      
  liveupdate.baidu101.com 
      
1 @0 G( Z+ }8 g; ^# n
      
# k3 _+ J8 q# E  x& l0 s' W  3、強行修改注冊表并劫持COOKIES: 
      
1 }: T8 S" J# F$ t, M; G/ k) U& W! R  @* o$ X
      
  安裝新版Windows優(yōu)化大師后,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同),同時,修改注冊表以下兩項: 9 x- v. o8 s6 a+ H6 _
      
5 V) q7 g: Z/ C, C, t& S$ A$ i- v
      
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 
      
9 m! f% b" z0 T+ }: M+ d2 T5 Y  v, y, N, X* H: R
      
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies ! e# r$ _' ~& c$ W7 u
      

      
1 M0 R, A/ G7 \3 K2 C  為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat 
      
2 b1 |3 ~; G0 a* [" T4 l2 \7 l( p/ w3 i  p
      
  此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑,掩飾那些不停生成、快速增長的cookies文件,而強行將用戶COOKIES劫持到新生成的Software文件夾,只不過,因為技術人員的一時馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性,才暴露無遺…… 
      
7 P6 ]5 ~! C3 ]  Q7 X
      
* a. |$ S( t& {+ b/ y  4、APIHOOK: , {1 }4 V* d4 q( t+ V/ c7 ^
      

      
* X8 e0 y8 n6 o  }$ b+ V; w; Y9 E  安裝新版優(yōu)化大師后,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊。 
      
0 y  R% i+ U; B/ `, \3 B1 w/ n% `3 ]; u, D5 q! i
      
  此項為網(wǎng)友反饋,因筆者水平有限,對此不甚了解,搜索網(wǎng)絡也未見有相關模塊信息,還希望有技術高手繼續(xù)研究分析出其實質(zhì)。 
      
& A. P6 n9 o) @( f9 L4 H4 J' J& V9 M$ a& D. T3 R. q& E9 D
      
  至此,真相大白…… ! C$ f5 u- i2 ?; [7 ?, n- d
      

      
7 ]1 l4 |# l$ S( @  我們再來復習一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟件,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外。其具有如下特點:強制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁等。 4 t) y% ~# x# p2 k9 y1 P
      
9 K. I! K: {6 B8 |: ~* N1 W. i
      
  由此定義,對比新版優(yōu)化大師的行徑,相信大家自會有所明斷。 
      
4 v# f* Z7 T: t8 V3 B3 ~" V( d% S9 h6 \9 N  ~% D
      
  在CNBETA發(fā)文之后,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項,但據(jù)網(wǎng)友反饋,其篡改搜索引擎的行徑卻依舊故我,其它幾項暫未做檢測,故不加評論。 6 I7 Y3 x( u( S* R$ u/ U( h6 F
      

      
9 O3 G( x& a8 {/ g" J( A% e/ h# I  因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復被篡改的系統(tǒng),故在此提出簡單修復解決辦法,僅供參考 + {7 U8 L9 h/ L1 V/ `) J+ h' }# R# f
      
" h0 ^) }2 W' r3 [, j' L
      
  當然了,修復的前提是先卸載掉此版本優(yōu)化大師~~ % J% g* U5 t; g9 \" A0 L. B
      
9 s& t! w  {! L, ^1 r
      
  針對前文所述4項內(nèi)容,進行以下修復: 
      
0 d6 Z' g- M2 A1 ~  `
      
" m. P1 e! g$ T3 L9 G7 j% n. e  第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式; 
      
' P2 v! Z' Q6 }" e
      
: C/ Y1 Y1 M" ~0 }( F4 t1 {+ \/ V3 Y  第2項可在卸載優(yōu)化大師后,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”),之后手動清理注冊表以上所列項目; 
      
5 X6 V4 Q- B, y7 Q5 c$ c  T5 P- a3 W& o4 ^5 Z
      
  第3項需修復注冊表以下兩項: . X3 C+ Z) L/ B  w$ U: D
      
. h6 B* W* R7 C+ I* M
      
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 
      
6 |) v0 v& G: D; Q# c7 @9 T2 ^
      
! Z9 O+ N- Q/ r4 T4 L% {2 s  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies : I3 v- w$ m! U. Y
      
- e; G5 y3 g; A9 R' A
      
  VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies 
      
7 O2 N1 r; ^5 M( h
      
. }% O7 P9 B+ O/ ^6 ^; t  XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies 
      
' b  w: u* d9 l- P- g. n$ V- o5 x6 L1 O
      
  重啟電腦后刪除所有盤符要目錄下的Software文件夾; 
      
# C  h- J+ w' v# u6 Y& {
      
. O/ f% T. z8 u- F5 |) W4 r  第4項因筆者水平有限,暫無解決辦法.
      
作者: 御風    時間: 2009-5-7 14:41
      
沒有用過優(yōu)化大師




      

      

      歡迎光臨 汶上信息港 (http://loveproblemguru.com/)

Powered by Discuz! X3.5