天天爱天天做天天做天天吃中文|久久综合给久合久久综合|亚洲视频一区二区三区|亚洲国产综合精品2022

    • 

    <delect id="ixd07"></delect>
      

      

      汶上信息港
      
標題: 優(yōu)化大師流氓行徑分析及修復方案 [打印本頁]
      

      
作者: 秋官    時間: 2009-5-7 10:16
      
標題: 優(yōu)化大師流氓行徑分析及修復方案
      自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn),自己的電腦中多了一些不明文件及程序,并且搜索引擎被強行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題、尋求解答。但眾多用戶的反映卻未收到官方任何回應,反而被一一刪帖。直到有氣憤不過的網友在CNBETA投遞并刊發(fā)“強制百度搜索添加可疑文件優(yōu)化大師全面轉型流氓大師”一文,引起各方關注,官方才匆匆發(fā)出一個公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序,對網友反應的其它問題卻只字未提。   k' Z$ a$ C/ p: s- L: x$ ?; U
      
/ o; q! q/ x2 h6 U9 |5 {6 p  I
      
  做為多年的優(yōu)化大師使用者,筆者也是第一時間趕到官方論壇,本著對優(yōu)化大師多年良好聲譽的信任,積極提出問題現(xiàn)象并綜合網友討論提出了一些解決辦法,然而,卻遭受到了刪貼、封IP、鎖ID的待遇。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應,不禁令筆者疑竇叢生,于是對此版本軟件進行了詳盡測試,并參考一些網友的反饋,得出結果令人大跌眼鏡。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的: 
      
0 P& E( X6 m+ C1 _' J; [6 c/ N, }4 V! \5 [) o* Q
      
  1、強制安裝GAMEHALL游戲大廳: 
      
  y+ \, N4 ]9 ^6 o$ D
      
3 r) `  I3 [! A  默認安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式。 # M" R3 \' T6 b2 N1 a8 ]$ `2 H
      

      
$ s- e: Z2 X- f# ~! g  2、強制添加并篡改IE搜索引擎: - W/ M+ h7 \+ d+ S! i+ H2 X3 L* M
      

      
* L" y0 H9 C: ?- H# v  安裝新版Windows優(yōu)化大師后,即使不選擇任何設置,系統(tǒng)注冊表會被修改,添加和修改的內容如下(此項內容引用網友評測): 3 K' L+ h+ L8 q6 J# ~/ l9 D
      
. B7 e5 {+ x  \: s, ]% u
      
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] 
      
7 n* C! {# ?" T) K( I& x2 P1 `& |* j$ Z" l  v
      
  "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" 
      
% K5 K) ?7 s) D) T" J
      
6 X+ o5 \( s$ G) }) S; ~  "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" 
      
1 T  }8 t) T* L8 ^- U; Y, m+ G0 z1 F' Q4 h/ o, i
      
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wom] 
      
) Z3 V  ^# v  M  U8 G! A7 w# Y
      
  "Masters"="0F0F0F0F" ' u4 \3 ^6 t% i  t3 I8 h" D2 X
      

      
( e: q0 k3 e' t4 L  "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" 
      
! T! X8 E" X: E7 E+ B
      
( t' O+ Y' S" o- V  "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" 8 J3 p- U* ~; L
      

      
5 K7 ]/ u" `! U( M  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] 
      
$ R* P# Q& J$ `- j0 B: y3 W5 {& K; t( j
      
  "DefaultScope"="Baidu" ' d+ U9 ~5 l/ ~
      
- [7 _8 ?) r9 m! H$ N% \2 [
      
  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] 
      
1 s( R4 A* A# v# K( h! g. {' r! k
      
  "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 9 M: R8 A" B6 E; T7 [) y# m
      

      
( V9 u- ?- {1 D! d# F. {* d. Q: B  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] 
      
! l8 `9 w6 x* O
      
2 r( ?5 t/ P: X9 P6 R: o. N7 c  "Codepage"=dword:0000FDE9 6 ]5 ?% f/ b' W  k: ~, C
      
% u# [! H% ~' Z7 ~8 X0 ^4 m
      
  "DisplayName"="百度搜索" $ ~6 j8 D  W, L9 Y
      
/ w& N, s$ m2 w9 Z" E4 k# {2 N2 v
      
  "SortIndex"=dword:FFFFFFFD 
      
% E- e3 }' C2 j/ c1 S7 ?% G5 I; j  O& j2 o, _
      
  "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 
      
- w3 S6 ]9 C+ L, y! A
      
2 Z: ~- l: ]3 v+ Y  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] 3 [$ t$ I8 u/ x; M) A
      

      
) ]4 g( [* Q6 E! C  "Codepage"=dword:000003A8 
      
" k! [( U) m! F, o) J) Y& [
      
. i0 p: w* g7 Q# |  "DisplayName"="谷歌搜索" 
      
/ Y2 W+ G5 L( s3 x8 D8 s& z
      
. W, J4 l& l- h  u1 i" j  "SortIndex"=dword:FFFFFFFE % s! o1 V- Z8 ~/ @) a9 k1 n
      
7 e9 h% ]3 `3 I, T" j1 }. _
      
  "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" . m  L% W, Y, h7 D/ m4 t- \8 m  z
      
; V) D4 i$ a' q5 m! G0 w' j
      
  [HKEY_CURRENT_USER\Software\Microsoft\Windows] 1 |' ~! T7 V& v$ z; x0 f
      

      
+ \- n2 ?8 R) `- ~  [  "Verion"="0013E86C8919" % @( D2 m3 V3 l7 ]
      
( {& d/ A. r: m6 i6 l1 k; D
      
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] 
      
) d+ d/ B) [* W0 b  }* h( `; L1 T6 O" h, X
      
  "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ * p7 P8 t$ u+ s, ?* E
      

      
- V; i+ v) ^3 F( j( U  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ 
      
! Z  O0 u, A/ [% O% P& n% I) q$ x. _" A
      
  01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 
      
* N2 b  Q" v  H% X1 O, S0 O6 |5 J9 E% N' h1 C
      
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] 
      
+ q: q: M, E+ F( S0 L" g
      
1 N6 `$ `% `; j6 L" o  "1803"=dword:00000001 - }0 ^/ d1 G/ r( h  q7 i
      
& F1 L- k) g# v7 k7 g( ]" T
      
  同時中途可能會連接以下不明網址: 
      
3 X" M8 x  J; `
      
" _* a& H7 D9 w0 _' U4 h# C. ]  www.930930.com 
      
" ?- s. Y% i$ t. _% x% P  q0 ~
      
2 `; |" E) Z  x% a! y0 K( P  www.304304.com 
      
- `' @* K6 \: T# z3 K* r3 ]1 z# A$ L. F. \/ v' x4 j5 s( l% H
      
  www.072072.com 
      
; u& N# T; I4 N; i7 X8 |) n/ ?
      
  072072.com 
      
3 \5 i: _! s6 U' c$ `+ K( Y. {1 e4 s9 q
      
  www.146146.com 
      
$ i# I; {+ o, t9 B& H( v) h5 x2 v* @
      
. ~5 Q# Q& S: z  146146.com 
      
: \7 z1 K9 Z( R5 v$ i: Z" {+ y) ^3 J& \( Z
      
  397397.com 
      
- k" W0 p  _- h6 R3 F+ f! R5 m* b3 a/ p4 w% w
      
  265.com : i- X* r# J, X  a9 c0 C( K
      

      
3 Y" }- m' P" f; u! U  v* h  liveupdate.baidu101.com   @; a4 k2 h: W- N
      
- M( Y# B4 b& i8 }- j9 {1 W
      
  3、強行修改注冊表并劫持COOKIES: 
      
8 {- |7 G3 x" |/ I0 a- j6 t2 p& F  k' v8 Y, t- W" g
      
  安裝新版Windows優(yōu)化大師后,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同),同時,修改注冊表以下兩項: 
      
! @, A8 ?7 |/ k/ s" ^+ l; F: y+ z% ~8 ~: Q6 f
      
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 
      
' r" Z6 x5 S6 b: n5 d, X# o+ v
      
. k; u" p  K8 [& ^: }& y5 V& G  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 
      
- b- U& }1 d1 s6 G
      
1 Y' O) C7 n" _2 x6 S  J  為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat 4 A8 R% X1 R. y3 O0 M
      
  W0 G- ?: l( J7 c3 C
      
  此項內容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網站的行徑,掩飾那些不停生成、快速增長的cookies文件,而強行將用戶COOKIES劫持到新生成的Software文件夾,只不過,因為技術人員的一時馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性,才暴露無遺…… 
      
" T9 j* a, B7 X2 w/ _& J  T0 P( t, L  Y0 A3 i: K1 a1 I$ G2 f; B) l2 C
      
  4、APIHOOK: ) ]- m7 f7 |! U* \3 J' ~: y
      
' k4 e% F2 N6 O
      
  安裝新版優(yōu)化大師后,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊。 2 e% X# G+ g. q; G
      

      
5 e- t& M/ e# P4 ~8 f  \  此項為網友反饋,因筆者水平有限,對此不甚了解,搜索網絡也未見有相關模塊信息,還希望有技術高手繼續(xù)研究分析出其實質。 
      
/ N: o8 D, d3 _6 G1 S' B; u1 u$ B: P" M6 P; z# ^; E
      
  至此,真相大白…… 7 D3 M. k$ n% D9 O  F, n# i
      

      
1 `  r. H7 r1 P* f7 J  我們再來復習一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟件,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外。其具有如下特點:強制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁等。 + u' n4 l1 W+ K0 u: u+ ]
      

      
, Y& a/ i& a, M7 b, Z+ v  由此定義,對比新版優(yōu)化大師的行徑,相信大家自會有所明斷。 . s$ x4 M1 B. n, M
      

      
6 S4 p6 o  e& d+ ]  在CNBETA發(fā)文之后,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項,但據網友反饋,其篡改搜索引擎的行徑卻依舊故我,其它幾項暫未做檢測,故不加評論。 & k( ^. @! l, t4 W+ u) \: W
      

      
8 `, F$ R1 o" ]. g! c6 ~; O+ y# R  因仍有許多已安裝V7.93.9.303版本的網友不知如何修復被篡改的系統(tǒng),故在此提出簡單修復解決辦法,僅供參考 / z! N! v& L  ^( u2 H4 Z% x& G
      

      
9 G1 R& V. X, ?% S  當然了,修復的前提是先卸載掉此版本優(yōu)化大師~~ * ^8 w( a; f8 I
      

      
. N, u5 b# w, c8 [1 x: m) Y  針對前文所述4項內容,進行以下修復: ! h9 v; `! }( S  y/ ]" N
      
0 T1 f9 Q+ W5 O
      
  第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式; 
      
0 z. H% [) R$ f  z
      
7 Z& A( w9 `# d- X9 C  第2項可在卸載優(yōu)化大師后,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”),之后手動清理注冊表以上所列項目; 9 W' ]+ W" Q! K3 Y; Z8 B, x
      

      
) `9 u) J! z1 U8 X  第3項需修復注冊表以下兩項: & l1 i3 a, {; S! s/ L2 y2 t9 Y
      
. c! y# `4 c8 {3 V2 s) I! L. \. e
      
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 
      
$ @; W8 k2 S2 n4 ?6 ?3 G! u/ {1 Y4 m5 E0 Z7 ?
      
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies " ?9 l) R3 ~) q# D) \# L
      
7 t  e0 n6 j/ K! c
      
  VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies 9 b; X4 x6 C8 n  v7 O
      
1 ]- Y% s; {( |! P2 ^% }
      
  XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies 
      
( ~+ w( j, j% B
      
( v3 g$ [  e2 y# C  重啟電腦后刪除所有盤符要目錄下的Software文件夾; 
      
& \1 t0 u2 t. E& q. R- F( U" I2 R( D
      
  第4項因筆者水平有限,暫無解決辦法.
      
作者: 御風    時間: 2009-5-7 14:41
      
沒有用過優(yōu)化大師




      

      

      歡迎光臨 汶上信息港 (http://www.vancelump.com/)

Powered by Discuz! X3.5