我受不了了3721害我死机,作为小小报复,我发这个贴子
让大家看清3721的真面目!!『天涯杂谈』 3721对相信它的网民们说:不好意思,你们被我强奸了!
作者:联合光子 提交日期:2004-2-5 17:40:00
牐3721对相信它的网民们说:不好意思,你们被我强奸了!(用3721上网的朋友们可以来看一下)
粽子
学会上网之后,原本以为到达了一个更加便利的世界,然而,这个自由便利的世界却早被3721统治。
5年时间,疯狂掠夺统治资本
3721从1998年成立至今一直在利用微软的浏览器做着自己的梦,试图打造中国人的网络标准。用了5年时间,3721通过各种渠道、利用各种手段,让他的网络实名插件遍布90%的中文上网用户,而这,就是3721用5年时间积累起的统治中国互联网的雄厚资本,3721插件,表面上是中文上网工具,实际上,背后利用简单的病毒原理控制着网民的电脑,玩弄着中国互联网和对技术不甚了解的7000万网民,5年时间,积累起了足以对抗7000万网民和政府的雄厚资本。
用简单的技术愚弄着中国网民
这样一个打着“简单上网”旗号的3721,在程序员眼里,甚至成为了“垃圾”的代名词。
到任何程序员聚集的站点,查看一下涉及到3721新闻的评论 90%以上都是对3721的攻击,甚至是辱骂,更有程序员还在个人网站中标注:“如果你是3721的支持者,不要安装本程序,本人不欢迎并拒绝其支持者使用本程序!”
首先,程序员对3721的技术一直没有持肯定态度。在程序员看来,通过客户端软件将域名和中文单词对应起来,实在没有什么技术可言。
最初,3721的软件是客户端的形式,主要通过和网站合作进行免费发放,但这种方式容易被用户拒绝或者删除。不久,3721采用了微软公开的ActiveX技术标准,将客户端转变为了浏览器插件。应该说,许多软件均采用ActiveX技术开发,例如Flash动画播放插件、Microsoft Media Player插件等,这种方式也无可厚非,但3721在推行这种方式时,并没有尊重用户的意愿,而是防不胜防的在各种网站上弹出骚扰对话框,强迫安装。有程序员表示:“不管软件写的怎样,有一点是肯定的,开发者和策略制订者缺乏起码的职业道德。现在所谓2000万用户,有多少是自愿安装的呢?又有多少是踩中地雷的呢。”同时,在早期的某些版本中,的确有造成用户死机的案例出现并被广泛的传播。
因此,3721接下来就好像故意要同程序员做一些对抗的工作。为了防止卸载删除,软件中采用各种技术手段。有程序员说:“现在3721的插件越做越霸道。不止是修改注册表,而是一直在你的系统里运行,并把自己伪装起来,我曾经把cmin*.dll删除后,用WinHex查还有,是改名运行的!而且如果用SoftICE 调程序,3721的DLL总会捣乱!” 3721在煞费苦心的加入各种技巧,有的技巧与木马病毒的原理一模一样,所有3721的软件在你的计算机上都开着后门,而这个后门,正是3721走进你计算机深处的通途,3721在偷窥你的时候,你,却并不知情。
用程序员群体的眼光看,用软件开发的某些技巧来强奸用户的意志,这对3721是自辱,对中国互联网是侮辱!
但是,3721为了保证其利润来源和一个无耻的梦想,他还是选择侮辱中国互联网,侮辱中国网民。
黑社会手段抢夺地盘
然而3721在圆自己的美梦时却毁掉了众多网民的基本的使用权。众多不知情的网民在无意下载3721插件后却一直在被3721的梦想所左右。3721的插件也已经开始在90%的中文上网用户打开电脑开始上网时被监控。
有懂技术的网民在论坛上发表言论时写道:这两天上某些网站不是很顺利,开始我以为是网络的问题,可是其它网站上的去很正常,因此我排除了网络原因。排除了病毒原因之后,我反编译了其电脑里唯一和浏览器相关的程序——3721网络实名插件。当看到3721程序代码的时候,他说:“当时吓出了一身冷汗。原来这个程序有个后门,所有的人都不知道存在的这个后门。而3721的其他程序就通过这个后门进进出出。在这个程序中我发现了一段代码,这就是屏蔽那些网站的代码,在这个代码后面,有着一长串我们熟悉的网站,有的屏蔽是生效的,有的屏蔽还没有启用。这段代码就像一个机器人一样,在这段代码后边,如果加上http://www.sina.com.cn
那么新浪网将被屏蔽而无法访问。
3721为了保住他的网络实名业务,不得不保住他插件的推广量,而3721用这种手段,在威胁并强迫着许多网站为他弹插件。而许多网站却敢怒不敢言。***网站是受害者之一,而除他之外,还后一长串名单。
3271就像中国互联网的黑社会,他知道你电脑里的所有信息,他占据着本属于网民的中国互联网,把他划为属于自己的地盘,牢牢控制,即便是SINA、SOHU、NETEASE、QQ这样的门户大腕,慑于3721的淫威,在3721面前也是敢怒不敢言,因为就连政府都无可奈何。
谁来管管3721?
遍查互联网的法律,也没有任何一条对3721这种做法进行管理的规定,甚至没有任何一级管理部门和法律制定者意识到这个问题。3721在利用着自己制定的法律为所欲为,制定着属于他的游戏规则,所有人都必须俯首称臣,上贡交钱。
一方面偷偷摸摸给网民安装,一方面穷凶极恶逼迫其他网站为他弹插件,否则就“封掉”不合作的网站,毕竟,他已经有了90%的占有率,一方面,堂堂正正的大卖网络实名赚钱,甚至威胁北京大学,如果不买这个词,就把这个词卖给别人。
用三条计谋堂而皇之的赚钱,大大方方的管理中国互联网。原本互联网所倡导的平等、自由、公开的原则,在3721的公司利益面前荡然无存。原本上上下下部署严密的政府部门对他也无可奈何,甚至毫不知情。
中国互联网,被3721继续统治着……,谁来管管?无人来管,无人敢管.
网络上对于3721事件已经炒的沸沸扬扬,我想大家也多少知道一些,对于尝过苦头的朋友来说,安装了3721,就好比做了一场恶梦般的可怕~3721的内存驻留和文件保护机制做的太强大了,以至于在你不想使用3721时,使用卸载程序将3721删除后,3721的主要文件仍然存留在你的机器里,像个恶魔一样缠着你,挥之不去!今天我就给大家好好分析一下3721的内存驻留和文件保护机制,后面会跟大家介绍完全删除3721的详细方法。希望大家可以认真的看完这篇文章,然后把自己电脑里的3721全部K光光~呵呵,世界清净了!
1. CnsMin.dll的驻留方式
3721的核心文件:CnsMin.dll通常存在于<Windows Directory>Downloaded Program Files下。
通过注册表Run键值加载:Rundll32 <dir>CnsMin.dll, Rundll32 CnsMin.dll提供了一个函数Rundll32供Rundll32.exe调用,但这个函数只是调用一个真正的驻留函数Rundll32Main()。
Rundll32Main()伪代码:
void Rundll32Main()
{
hMutex = CreateMutex("CNSMINMUTEX");
if(ERROR_ALREADY_EXISTS)
{
CloseHandle(hMutex);
exit;
}
if(IsWindowsNT()) {
SetProcessSecurityInfo();
}
else {
RegisterProcessAsService();
}
CheckVersion();
// CnsMinKP.sys/vxd 内核驱动程序,保护3721关键文件和注册表项不被删除
ContactWithCnsMinKPDriver();
// 关键的hook,负责将CnsMin.dll注入其他进程空间
InstallCBTHook();
// 关键的hook,负责将CnsMin.dll注入其他进程空间
InstallCallWndProcHook();
// CnsMinIO.dll 负责IE地址栏下方的提示
InitCnsMinIO();
// 一些注册表信息
InitRegistry();
// 保护CnsMin.dll的钩子不被卸载或抢先
InstallGuardTimer();
CreateMsgWindow();
// Message loop
while (true)
{
GetMessage(&msg);
TranslateMessage(&msg);
DispatchMessage(&msg);
}
}
CnsMin主要是通过WH_CBT和WH_CALLWNDPROC两个全局钩子注入IE进程空间的。注入IE后,又安装了WH_KEYBOARD,WH_DEBUG等钩子。其中对3721实现其“实名转换”有用的是WH_KEYBOARD。这是一个本地钩子。
CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,无疑会造成系统性能的下降。
强制结束Rundll32进程,可以暂时卸载3721的驻留代码。但CnsMin.dll通过COM注册已经嵌入IE组件中,重新启动IE后,该进程又会重新启动。
2. 3721的防删除手段
文件系统驱动:CnsMinKP*.sys 针对NT/2000/XP有不同版本(98下面是CnsMinKP.vxd)
通常存在于<System directory>drivers目录。
在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字就叫做 cnsminkp*,驱动程序位于<System directory>driverscnsminkp*.sys。
cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程序,即 net stop cnsminkp 是无法停止这个驱动的。
该驱动程序过滤了对文件和注册表的删除操作。试图删除3721的关键文件和注册表项时,直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。
该驱动程序还有一个黑名单(保存在某个外部文件中),阻止Windows读取其他3721的竞争对手的插件文件。
目前还没有找到停止该驱动的方法。这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保 run 里有cnsmin.dll。
这里我提到的不停的检测注册表中有关3721项的情况,是通过安装注册表监视器后,发现即使我在不进行任何操作的时候,也有一个进程在访问注册表,这样必然会占用一定的系统资源,于是顺藤摸瓜就找出是3721捣的鬼。
3721这种行为是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,从而导致系统性能迅速下降。
删除方法:在Windows启动前(98下面退出到DOS或者安全模式下)删除CnsMinKP*.sys文件。
注意:3721具有自恢复能力。某些关键文件被删除后,其它模块会试图从3721网站重新下载。所以彻底删除前需要断开网络连接。
3. 针对目前版本的删除方法:
a) 运行3721自己提供的删除程序。可以删掉大部分的文件。
b) 从DOS启动,删除残存文件,如CnsMin.dll,CnsMinKP*.*等
可能的目录:Downloaded Program Files目录,Program Filesú1目录,drivers目录
c)重起后按F8,选“Saft Mode”,进入安全模式后,启动注册表编辑器,即在开始菜单中的运行里输入“regedit”,展开注册表到,在右侧窗口中删除CnsMin键。
d)展开注册表到,删除整个!CNS目录,这个目录在“Internet选项-高级”中加入了3721网络实名的选项;展开注册表到以及,删除整个3721目录;展开注册表到,删除CNSEnable等几个以CNS开头的键。在HKEY_LOCAL_MACHINE: WindowsCurrentVersionRun SYSTEMCurrentControlSet中如果有关于3721或CNS等字符的键值也全部删除。
e) 启动Windows,进入桌面时Windows会报告一些模块找不到的错误,不用理会。继续搜索注册表,还有些零散的注册表信息未被删除,用关键字查找,见了就删,注意不要误删了别的键值就好。
f)在删除完注册表中的项之后,还需要删除存储在硬盘中的3721网络实名文件,一个比较快捷的方法是:打开“开始”菜单,点击【查找-文件或文件夹】,分三次在“名称”中输入3721、CnsMin、cnsio分别查找,然后把找到的文件全部删除。
等这些工作都做完了,重启一下吧,看看,可恶的3721终于被我们清理干净了~我们的PC,我们做主!
最后引用一位网民的话:“cnsminkp.sys 是否表示 cnsmin keep 还是cnsmin kill protect ?”。这也许就是应验了那句俗语:“物极必反!”。3721一开始开发出来的动机和目的都是好的,也的确受到了很多网民的支持,可就是这样,贪婪终究会毁灭一切,3721落到今天这个地步,也算是咎由自取,玩火自焚吧。这个教训值得所有中国人自省!
(本文参考了一部分网络上的资料,这里仅向原作者致敬!)
祝tnnd3721早日倒闭 最好能有一个专门卸除的工具,并且通过防火墙设置把3721屏蔽掉
幸运的是sp2的防火墙只提示一次,然后可以选择“永远不安装这个插件”………… 这么黑呀!好在我用兔子把3721给删了。不过还没看是不是删干净了 进程里面总是有个或者几个run.dll32的东西,不知道是干嘛的,而且还老是要求访问网络,被我永久禁止了.看了帖子后觉得3721真的很贱,tnnd 还装了3721的上网助手$怕怕$ 还是头次听说3721。如果它不把用户权益放在眼里,那么这个商家太可恶。看起来象是搞自己一套域名系统,想生米煮成熟饭,推事实标准,可笑的是用含IETF字样的图标打广告。有时间的话,看看它到底是个什么东东。 厚厚,cnnic, yahoo, 百渡,google, 种种官司~~~~~~~~~~~~ 网上圈地运动如火如荼啊~~~~~~~~~~ 就是internet keyword啊,和IETF有些关系,不过还没找到IETF的有关正式文档。
页:
[1]
2