天天爱天天做天天做天天吃中文|久久综合给久合久久综合|亚洲视频一区二区三区|亚洲国产综合精品2022

    • 

    <delect id="ixd07"></delect>
      

      

      汶上信息港
      
標(biāo)題: 優(yōu)化大師流氓行徑分析及修復(fù)方案 [打印本頁]
      

      
作者: 秋官    時間: 2009-5-7 10:16
      
標(biāo)題: 優(yōu)化大師流氓行徑分析及修復(fù)方案
      自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn),自己的電腦中多了一些不明文件及程序,并且搜索引擎被強行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題、尋求解答。但眾多用戶的反映卻未收到官方任何回應(yīng),反而被一一刪帖。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文,引起各方關(guān)注,官方才匆匆發(fā)出一個公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序,對網(wǎng)友反應(yīng)的其它問題卻只字未提。 . K6 z* E: u# I. O; ~% `8 \( r
      

      
0 p4 }7 `9 N7 ?0 U4 m" y$ A  做為多年的優(yōu)化大師使用者,筆者也是第一時間趕到官方論壇,本著對優(yōu)化大師多年良好聲譽的信任,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法,然而,卻遭受到了刪貼、封IP、鎖ID的待遇。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng),不禁令筆者疑竇叢生,于是對此版本軟件進行了詳盡測試,并參考一些網(wǎng)友的反饋,得出結(jié)果令人大跌眼鏡。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的: 8 `- P) @5 M) U4 U. M8 f
      
: \* T" B# @: Z8 Z  N1 S! o
      
  1、強制安裝GAMEHALL游戲大廳: * W) Z4 s1 G' A$ Z- ~) A
      
7 x8 H$ y5 D: w3 Z
      
  默認(rèn)安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式。 9 m: |; [' f& {1 Q0 `
      

      
, s, G* T$ i1 ]7 B: w  2、強制添加并篡改IE搜索引擎: 4 g- C* V2 w0 O8 h+ G/ O7 ~# }6 k9 S
      

      
6 i; ~$ H6 p" p$ e  安裝新版Windows優(yōu)化大師后,即使不選擇任何設(shè)置,系統(tǒng)注冊表會被修改,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測): 
      
4 r, \5 x' P& X" P* `6 q( f; P/ I
      
% p+ @" X+ e' B+ g  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] + s1 a: k4 d4 C
      
. ^( R$ y" {: t
      
  "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" ! V" f( _1 d. y
      

      
# s  ]$ {* g5 G  "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" 
      
  R* H" |- ]4 [1 P( b- r1 q' }; y1 v- y3 t. N
      
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wom] 
      
" E3 G, f0 }, w, |: p; F+ V
      
0 _2 [: v' ]1 z6 N! `: h  "Masters"="0F0F0F0F" / J% N0 d. W  y% a
      

      
# L6 E' S& {) W- l0 l% K  "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" " K* A! f$ C/ n. S6 X
      
2 i$ s( F, b0 b) w
      
  "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" 2 f( s6 [4 s% L4 Y3 n
      
# g' L  O) N- B) ~% K6 w- h3 @$ S6 j
      
  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] 
      
6 B8 Y! S; D) ?3 [, Y
      
* O! v1 U2 o- P, w& p8 U! O* T% H  "DefaultScope"="Baidu" 4 E. y+ s# j$ w& u+ x4 d
      
2 t6 P+ `, v( I9 e8 q) e0 ]# k
      
  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] 
      
6 u- p" P1 }; r, O; O! J9 k3 M
      
: |+ L1 T* @2 p0 d0 r. v  "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 
      
8 ~: P' k5 f, O* q$ ?1 Q6 s& T" A
      
: F4 x9 Z$ Y/ ^  s* N2 e' U  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] + ], F0 S. j8 g  [/ u
      
9 M0 z9 ?0 I( r2 a5 }$ w0 F$ m+ X
      
  "Codepage"=dword:0000FDE9 4 Q! R5 K: A& S# Z6 ~6 f
      

      
0 D& f& g1 f) ]/ R2 q6 ]5 O6 G  "DisplayName"="百度搜索" 
      
. S% z5 ]! J3 t4 G- K; c
      
0 l  @7 l1 v" v6 ?( u5 {  "SortIndex"=dword:FFFFFFFD 
      
$ V% _4 ]; G; e8 W" Q4 T. _! }9 Y% u1 e
      
  "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 
      
* {  e4 h0 p  t& S7 _0 t$ y" l+ M' T. p& t% s( ~; F+ c$ ]8 ?
      
  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] 
      
1 r# U% b8 g- k
      
7 I) k0 ~% [! ]4 K8 [0 \4 c  "Codepage"=dword:000003A8 2 L5 v  {8 |! p' z, p
      

      
. k- R9 {% W  B: j# k' O' M+ y  "DisplayName"="谷歌搜索" 
      
) e4 J4 |; c' }, e
      
3 j  l; B2 n! S0 v- r: a  "SortIndex"=dword:FFFFFFFE 
      
. O2 @( s: J6 b9 F5 v  @5 m  \
      
& N% F1 Y: S7 G8 ?  "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" * w3 J# X: T( j  }! X9 u
      
" R3 I: U% u. T2 E- x
      
  [HKEY_CURRENT_USER\Software\Microsoft\Windows] " I+ |7 ~3 }& l; M4 Q5 w% {. i
      

      
3 L3 A0 Q4 z+ C  a  "Verion"="0013E86C8919" , D! ^5 m6 J' x2 r+ V8 E' ?5 @# _
      

      
' S; E" V6 v# \3 H% Z4 }5 ?5 G  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] + L' R/ A& [8 m- A$ {  ]& K
      

      
5 Z5 h9 o- T9 {) f  "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ 3 U/ x* Q) O4 n4 g4 ^( e
      
, N7 A& i! Z4 L$ a/ i  P9 k
      
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ 
      
) s' m6 f& f8 H" g$ J! z/ d+ Y, z- X/ |8 s
      
  01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 ; e5 B9 Q( E5 j' e
      
. P7 L5 ^; j5 p4 V9 G
      
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] & s: V# F5 f" R, ?
      
1 I' z8 S1 V( V- E$ _
      
  "1803"=dword:00000001 . _9 p+ ~: D1 K2 b- x
      
+ ?. ^! f5 u6 h
      
  同時中途可能會連接以下不明網(wǎng)址: - E/ T+ `: z! P
      

      
* T) I( O4 V" i' a7 R7 z  www.930930.com - C2 W' ~" ^1 x
      

      
1 g+ @: m6 c% H, p( G) I  www.304304.com 
      
, s0 ~- `0 F" L, v5 \* ^$ v7 E& P' S( t8 Y7 x: Y: Q. ~
      
  www.072072.com / g: M. c( {( ~0 {
      

      
6 p6 \9 j6 o: P; S. t  072072.com 
      
7 ]! ?# M# \2 r; V
      
- h! X& Q7 r8 N$ Y  www.146146.com 
      
, d0 `0 V4 j3 U3 n, k8 T
      
4 ]; Y6 y, U5 L" d: N& X. _  146146.com 
      
# o9 O9 f: X$ S% i* S. {/ G4 [
      
  397397.com 
      
/ I: I, _; O; `% x( U8 }; b5 k& h6 i
      
  265.com 
      
' b, B! X! E; ]" w2 a- C& e( Y
      
6 K! U. f- E2 ]/ D9 [7 {3 I6 c  liveupdate.baidu101.com 
      
- |' T) }, \* l. R. c! m) f2 K: o% u$ c/ b& B- }# e
      
  3、強行修改注冊表并劫持COOKIES:   g% m- s& z; d# l8 p( ^
      
( ^- M8 S* t: r+ ^
      
  安裝新版Windows優(yōu)化大師后,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同),同時,修改注冊表以下兩項: " ?- J6 K8 ?  n- b& T4 V
      

      
0 l* @4 U$ ^1 G8 ~  ]" e  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 
      
- h$ V( v2 S( w7 F  o# Y& F: c6 e4 N4 J! X) N* x: E; b3 H
      
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 6 y) s) W7 Y' {: |; O
      
' D4 G1 i0 I# ~7 {8 X
      
  為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat # G1 U+ y$ K: C, B+ K# D/ F: |6 x
      
. G6 |7 o* u# Y0 N* h' ^
      
  此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑,掩飾那些不停生成、快速增長的cookies文件,而強行將用戶COOKIES劫持到新生成的Software文件夾,只不過,因為技術(shù)人員的一時馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性,才暴露無遺…… 
      
4 W. ]2 W" v) f' ?$ y8 p9 |9 [6 d; S; Y( y- @, d: a
      
  4、APIHOOK: 
      
( n# P) c* Y  {. I, K6 s; c4 h, R% {: [: ?; c' \4 M+ _0 R  R6 a
      
  安裝新版優(yōu)化大師后,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊。 0 I% ?/ o, x; ~' `" S$ `8 O/ O8 q
      

      
" p4 x, ~) I( G! e1 C$ n7 ~  此項為網(wǎng)友反饋,因筆者水平有限,對此不甚了解,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息,還希望有技術(shù)高手繼續(xù)研究分析出其實質(zhì)。 
      
3 ]; d! ?7 B2 i7 }4 e2 O& i' K: @- l, b% |% A0 Z3 N$ F0 a; i% W
      
  至此,真相大白…… - `" V2 R+ {1 T% p
      

      
. J9 L1 A) g" T0 T8 p4 R# W  s  我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權(quán)益的軟件,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外。其具有如下特點:強制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁等。 
      
2 Y3 |! @1 i; h) \
      
! `+ Q: @3 B' H3 D3 N1 I) l  由此定義,對比新版優(yōu)化大師的行徑,相信大家自會有所明斷。 ! E# [* w, m; _7 ~( e  g4 p
      

      
! ^) }+ H1 U+ ?9 d0 C2 b3 ]2 q  b  在CNBETA發(fā)文之后,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項,但據(jù)網(wǎng)友反饋,其篡改搜索引擎的行徑卻依舊故我,其它幾項暫未做檢測,故不加評論。 ( d8 U6 \& ?5 b9 Z
      

      
1 M2 B4 V; _/ T  因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng),故在此提出簡單修復(fù)解決辦法,僅供參考 7 L& X% O- k$ d3 K
      
, p% x/ t/ y4 I& V
      
  當(dāng)然了,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~ 4 W( Q8 [( K. [: `$ i8 c6 a" L
      
9 U/ ?; ~( T4 Y- `0 X
      
  針對前文所述4項內(nèi)容,進行以下修復(fù): 1 Y5 p! A+ r- i  ^
      
7 b4 o! t; K: ]+ r9 V
      
  第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式; ( m, N  L+ y4 l" ~. w2 \
      
1 n0 \$ _. ~7 I7 D7 O
      
  第2項可在卸載優(yōu)化大師后,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認(rèn)搜索提供程序進行的更改”),之后手動清理注冊表以上所列項目; 
      
! X; b" P& K. ]2 I$ J
      
/ O( \: A) q( F* D5 R; i  第3項需修復(fù)注冊表以下兩項: + B# y. H6 K0 n& I! N
      
, n& H+ J1 o8 g4 L7 a3 {
      
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 
      
6 \& k  D  ?5 l% X( |" @  d2 V7 ]. b$ v! D+ H5 c
      
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies ( _9 ^; |; m0 |1 I
      
( V% d% P0 E0 f; O: K! c. `  J
      
  VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies 
      
: q, d7 j0 r( X: p7 M& }
      
/ ]9 R4 d/ k+ a& x/ b9 S  XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies 
      
, O: _! E; Q! K8 ~0 S
      
9 `8 `, H; I$ H: r9 @+ \+ ~% Q  重啟電腦后刪除所有盤符要目錄下的Software文件夾; 
      
: Y+ {  o- k5 r1 }  |
      
2 _" U: e/ w# ?' C. ^7 L  第4項因筆者水平有限,暫無解決辦法.
      
作者: 御風(fēng)    時間: 2009-5-7 14:41
      
沒有用過優(yōu)化大師




      

      

      歡迎光臨 汶上信息港 (http://www.vancelump.com/)

Powered by Discuz! X3.5