免费97视频在线精品国自产拍|亚洲就去吻婷婷永久网|香蕉视观看在线a|日本精品AⅤ在线观看

<dl id="aauvq"></dl>
<blockquote id="aauvq"></blockquote>


<thead id="aauvq"></thead>
<dl id="aauvq"><noframes id="aauvq"></noframes></dl>


          

          汶上信息港
          
標(biāo)題: 優(yōu)化大師流氓行徑分析及修復(fù)方案 [打印本頁]
          

          
作者: 秋官    時(shí)間: 2009-5-7 10:16
          
標(biāo)題: 優(yōu)化大師流氓行徑分析及修復(fù)方案
          自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn),自己的電腦中多了一些不明文件及程序,并且搜索引擎被強(qiáng)行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題、尋求解答。但眾多用戶的反映卻未收到官方任何回應(yīng),反而被一一刪帖。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文,引起各方關(guān)注,官方才匆匆發(fā)出一個(gè)公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序,對網(wǎng)友反應(yīng)的其它問題卻只字未提。 
          
/ T( y& g. f% F7 r/ W* {& |6 S+ i/ n  J) ?. e
          
  做為多年的優(yōu)化大師使用者,筆者也是第一時(shí)間趕到官方論壇,本著對優(yōu)化大師多年良好聲譽(yù)的信任,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法,然而,卻遭受到了刪貼、封IP、鎖ID的待遇。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng),不禁令筆者疑竇叢生,于是對此版本軟件進(jìn)行了詳盡測試,并參考一些網(wǎng)友的反饋,得出結(jié)果令人大跌眼鏡。下面我們就來看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進(jìn)行“優(yōu)化”的: 3 E* d" ~/ k4 p, G5 M4 O4 ?
          
- n3 K4 r3 y) C' ~; _1 I; K
          
  1、強(qiáng)制安裝GAMEHALL游戲大廳: 5 l8 J4 l; t5 K5 {$ L$ W
          
; x$ {& q9 v0 v$ U. ]8 J
          
  默認(rèn)安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式。 
          
# z; ]; ]" [, y# T" x
          
+ Y4 S# [; Z$ ^  e7 t$ E  2、強(qiáng)制添加并篡改IE搜索引擎: ; W  z7 S1 p: k* {) a' Z/ i" s
          

          
1 T7 L5 ^7 [7 |7 X7 j" t) W  安裝新版Windows優(yōu)化大師后,即使不選擇任何設(shè)置,系統(tǒng)注冊表會被修改,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評測): # J$ [* _3 o( `  Y7 ^0 r3 c) Y
          
' y1 B8 }: f$ N/ P1 M' P: v5 j
          
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] 
          
. W( {4 l9 ~& x6 S
          
6 \. K' \" A# \  "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" $ x$ x$ d4 w( }  ~, O
          
! `9 U1 g+ K/ |  l' l- B
          
  "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" 
          
5 J7 ~  \' P# @' `' I- I
          
& c0 Z! X" n# c% t# {  [HKEY_LOCAL_MACHINE\SOFTWARE\Wom] 9 E5 ~! V& ^; n! E3 }
          

          
& R3 c: s7 J3 P& G  "Masters"="0F0F0F0F" 7 r! [, S! ~9 c$ P5 v
          

          
; K& @4 z3 b! {8 S% o  E  "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" & W* m% ]& ?5 i6 W# q
          

          
1 m6 F1 f, X: W3 `9 D  "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" 0 F; C5 X% Z1 _
          

          
# Y* Z3 [9 Q) f; i$ V  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] 
          
9 }; {3 [5 c3 `* I" L! O! ~; b* n8 j: C5 ?* z' {; u
          
  "DefaultScope"="Baidu" 0 _3 [' r! s. ~: `7 V
          
# r. v0 S  ?: v0 s! k" C* W7 e& O7 L
          
  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] 
          
! b6 c1 w0 s! }. C2 C& j& J6 S" N9 |0 @
          
" u1 q1 Q( R, x2 P9 C  r6 k  "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 
          
8 t- _; _! w0 B3 C2 o& \( ^2 }2 n; Z# W3 x5 b# R
          
  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] 
          
/ t9 T# E7 C( t
          
  U, t* O7 X5 W1 X2 d( p  "Codepage"=dword:0000FDE9 
          
+ i. V- ]* Y' G; B- d$ H. {2 ~1 m8 L% O) ^% s3 Q. ]7 ^, T" X( W" B
          
  "DisplayName"="百度搜索" / H+ s' [7 V& ~5 |. Q& s5 n
          
% o+ ^8 I" W' p
          
  "SortIndex"=dword:FFFFFFFD 
          
5 s3 |* w( D( |- V1 C* y& I5 K; K% J$ V
          
  "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 
          
1 L# x; l2 f! U( J) _
          
) Q; D6 H# r$ d4 g) O, ]7 |$ V  [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] $ V* L" O) K1 {7 t1 q, d
          
9 g* o2 _1 d* F/ z5 p
          
  "Codepage"=dword:000003A8 
          
/ R8 T& H+ s. P/ {1 a4 a  ^. V( P% c* Z) v
          
  "DisplayName"="谷歌搜索" 
          
; J- d" i2 U9 g. A" `& V2 J6 D: P
          
' {: T3 {2 p5 b+ i  "SortIndex"=dword:FFFFFFFE # M: }  x0 s- Z4 i5 a) F: {
          
1 }1 z& Z+ l5 K3 v
          
  "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" " I7 w8 S$ n9 J0 _; G4 c3 O. w) K$ l! W4 x
          

          
0 ]4 `$ Y5 o  ]8 U: R2 n6 ^  [HKEY_CURRENT_USER\Software\Microsoft\Windows] 7 J, m8 X8 d$ t
          

          
) A! o2 H( b) W) v- w8 \3 j  "Verion"="0013E86C8919" 9 I+ u& d2 ~' x. `1 W2 m& E
          

          
% e! g% _+ n- ?$ {5 w. y  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] 4 \4 @6 c0 b- I6 G
          

          
% I* L9 |9 C; V  l4 z5 V: R  "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ ( T# e: B& v4 R7 d, _
          
$ y; {$ x) k! O3 o" T
          
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ 
          
7 G( w0 ]9 k, F$ J% l" W  a% _/ Q' T! L% e) Q7 q4 i6 P
          
  01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 ' n5 u- K0 f$ t7 O, e
          

          
- d! c- t6 ^# I  G9 ^0 {* Y  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] 1 j! k" |, U% v8 e; R3 y
          

          
/ W! e: k/ k& @  "1803"=dword:00000001 
          
' H- M5 S  u7 e  u5 E- H
          
) P0 Q2 ]9 Y' e3 M/ F  同時(shí)中途可能會連接以下不明網(wǎng)址: 
          
# m; ^) H( e3 p! K
          
; d; t8 C# f( x4 N( }0 Q  www.930930.com 
          
( Y3 c: K4 m  l' G2 m
          
3 q$ U4 q3 h) Y8 l4 }  www.304304.com 
          
- V( c# U1 S1 i  q+ b
          
* M+ i8 Z% c# d8 X7 X+ v: e  www.072072.com ! a( D. v$ e: A3 |% f  P8 x
          
. g+ ~/ _" ^4 ]  z0 G; `# w" Q
          
  072072.com 
          
* [8 g5 b, q/ [6 c
          
: s; k9 j0 M& N" k  A( Y  www.146146.com , {7 l* J2 i/ E+ X6 F
          
3 O# \6 j* p5 K+ a! s" Q8 D$ p
          
  146146.com 
          
8 W7 F8 e+ ^+ l. J# o, K0 `
          
( W/ W( L& j+ m! \+ Y  397397.com 
          
2 V$ x5 x0 y& S/ F
          
7 Z( q% \9 C7 @5 p  265.com 0 v  t, ^6 m1 D- V; A6 y
          
/ Z7 B' v: @1 S
          
  liveupdate.baidu101.com # A5 f  l+ H( V2 n6 [
          

          
- Z# A; ~2 n+ \: l5 n1 X# _  3、強(qiáng)行修改注冊表并劫持COOKIES: 
          
! H3 l6 l  Z* I
          
/ z; m6 {6 _- ~" h' u  安裝新版Windows優(yōu)化大師后,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同),同時(shí),修改注冊表以下兩項(xiàng): 
          
- ~7 N0 p- K) N0 N. _- a% N0 J( u" ~1 z0 J
          
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies ' _9 c) p/ b) C- i
          
) _0 t% w' h7 f) C* W* U, y
          
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 9 e9 a7 [; [* v* f8 |( o* W/ ]
          
) z( ^0 c' F9 |, ^7 R0 O
          
  為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat 
          
* h1 H" G, C& Z0 d' o1 L8 ?/ z8 V. e, v# _% x1 m+ ~
          
  此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑,掩飾那些不停生成、快速增長的cookies文件,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾,只不過,因?yàn)榧夹g(shù)人員的一時(shí)馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性,才暴露無遺…… 
          
, L) r4 R: q. c) l2 ~0 j& y, Y$ u. u3 l) f# R% c% P
          
  4、APIHOOK:   H, I5 C# l1 [( {% ~  D8 z# _
          
  n- X7 J' j2 n
          
  安裝新版優(yōu)化大師后,會將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊。 # X# ]2 H/ c9 J
          
' @: ?4 F! o* t( f* }& \
          
  此項(xiàng)為網(wǎng)友反饋,因筆者水平有限,對此不甚了解,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)。 + X* I9 m) v$ b) U
          

          
  P+ I+ I  ~/ ^9 P  至此,真相大白…… + _& z8 ~) g& \' b
          

          
- f( V) c" ?" C  我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行,侵犯用戶合法權(quán)益的軟件,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外。其具有如下特點(diǎn):強(qiáng)制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁等。 % e. c7 N" Z. Q$ ]2 t
          
6 `. s. d8 H* N% V
          
  由此定義,對比新版優(yōu)化大師的行徑,相信大家自會有所明斷。 & F) s7 J/ q. g/ w; p3 m
          

          
. a) H, o5 V& ?; m$ Z! o! \5 [  在CNBETA發(fā)文之后,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項(xiàng),但據(jù)網(wǎng)友反饋,其篡改搜索引擎的行徑卻依舊故我,其它幾項(xiàng)暫未做檢測,故不加評論。 
          
* f% w0 V; r: z- A" b4 m! a: b9 m% F1 {  }* n4 B
          
  因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng),故在此提出簡單修復(fù)解決辦法,僅供參考 
          
" d# N) L$ p; r3 b" N8 h" C9 K( v0 L
          
+ O1 ~1 |3 T0 [$ x. s8 d  當(dāng)然了,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~ 7 x1 t3 b1 `% p( N9 i
          

          
# V/ S4 X; Z& p0 u  針對前文所述4項(xiàng)內(nèi)容,進(jìn)行以下修復(fù): 
          
0 B) C% M  v* f1 O5 s$ ?
          
1 T* Q8 G. v9 A, G! a+ I  第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式; 
          
; u4 h1 i! b4 v9 o9 X2 X, C' v7 z) J& p
          
  第2項(xiàng)可在卸載優(yōu)化大師后,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對默認(rèn)搜索提供程序進(jìn)行的更改”),之后手動清理注冊表以上所列項(xiàng)目; % u3 S1 r4 j6 ^8 {
          

          
3 @1 n% z( i9 ^1 T! g  第3項(xiàng)需修復(fù)注冊表以下兩項(xiàng): & H. P9 N: b) c( D
          
, }! |1 V% Y- z" `) U! w
          
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies : V- o2 n( c! u* U" p4 Z; K
          
9 W' v8 N4 ^4 @5 r- X- v" N. ^
          
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 
          
) e! N! l* o) Z  I7 h
          
/ c7 f  b9 [0 \* m- ?, e/ a  VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies 
          
5 y1 q- E" i- ^2 d- R/ B! g
          
2 T6 _  A5 {1 f/ P' L  XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies 8 P% g8 M5 O; E
          

          
9 p) l% Y+ w6 m* Z! F  重啟電腦后刪除所有盤符要目錄下的Software文件夾; 
          
& c% q0 @+ i$ @) _$ q( s( ~* e( ^0 N3 ?# E
          
  第4項(xiàng)因筆者水平有限,暫無解決辦法.
          
作者: 御風(fēng)    時(shí)間: 2009-5-7 14:41
          
沒有用過優(yōu)化大師




          

          

          歡迎光臨 汶上信息港 (http://www.ywnyjx.com/)

Powered by Discuz! X3.5