全面剖析雅虎助手以及網絡實名的流氓行徑

馬雲走馬上任之後，推出了雅虎助手，本來以為雅虎助手和以前的上網助手能有一些不同，細細分析起來，流氓習氣有過之而無不及，全面揭露，觸目驚心！

雅虎助手真的能夠卸載干淨嗎？
網絡實名真的僅僅是一個中文上網這麼簡單嗎？
雅虎助手對網絡甚至對國家安全的危害僅僅是您目前所認識到的嗎？
雅虎助手自稱的“詳細技術情況”真的給您知情權了嗎？
雅虎助手真的是您的什麼“助手”嗎？

雅虎助手作為一種可自動安裝的、普及率極廣的一種網絡程序，近年來對之的爭議頗多。本文試圖從安裝、卸載工、服務、系統影響等各個方面列舉系列客觀事實，有關觀點僅代表筆者個人意見，拿出來與大方之家商榷，相信大家見仁見智各有自己的結論，5自學網，同時也希望以此引起有關部門的注意。

測試環境：VMWare虛擬機，共享主機連接，以獨立的公網IP地址上網；操作系統為Windows XP Pro SP2，默認安裝，僅以直接復制的方式拷貝了測試所必須的文件管理程序Total Commander、注冊表跟蹤工具Advanced Registry Tracer、抓圖工具UltraSnap、打字必須的極點五筆輸入法，未安裝其他任何軟件。

一、雅虎助手安裝剖析

1、安裝推廣由“反復提示”式為主為轉向捆綁為主
自從Windows XP SP2推出加強的安全特性後，以前頻繁出現的雅虎助手安裝提示被進行了有效抑制，因此其推廣安裝方式除傳統的通過浏覽器植入安裝、直接下載安裝外，又開拓了在某些共享軟件和免費軟件中捆綁的方式進行安裝。新的捆綁安裝方式，雖然有安裝選項，但對於習慣了“一路回車法”安裝軟件的用戶，被順手裝入系統的可能性極大！

2、“一拖三”的安裝方式，偷偷植入另外模塊
如果被安裝上雅虎助手，則實際上同時被植入系統的並非雅虎助手一個程序，而是同時另外被靜默地植入了“網絡實名”和“雅虎郵箱通”這兩套獨立的程序。

卸載雅虎助手時，額外植入的兩套程序不會被卸載；卸載每一套程序時，卸載對話框中都添加保留另外模塊的選項，以實現非刻意卸載情況下的自我交叉修復。

3、完善的自我保護機制
從安裝、保護、卸載、修復幾個環節來看，各個環節環環相扣，任何一環沒有正確處理，則就無法實現表面的干淨卸載（真正徹底卸載除非手工清理，否則無法實現完全卸載，後文詳述）

二、雅虎助手提供的“貼心”服務提供剖析
號稱提供各種貼心服務，其服務項目所標示的功能也非常的吸引人。我們對其中幾項進行了簡單測試，看看雅虎助手到底提供的是一些什麼性質、什麼質量的“服務”。

1、貼心功能不貼心

不少人看中了雅虎助手的彈出廣告過濾功能。讓我們看看真實情況！

用的專業測試頁面進行彈出窗口過濾測試。為避免干擾，先關閉Windows XP SP2本身的彈出窗口過濾功能（沒有人會說雅虎助手的彈出窗口過濾是依賴Windows XP的SP2相關功能實現的吧？！）。

測試結果，27項測試中，未能通過的有：第3項、第6項（1、2）、第8項、第9項、第10項、第11項、第12項、第16項、第17項、第20項、第21項、第22項、第24項、第26項、第27項（1、2、3），共計未通過測試的有15項（18種），過濾失敗的項目占整體的55%，失敗的種類占整體的66%。即按百分制評判，雅虎助手的彈出窗口過濾能力連及格分都沒有撈到！

而啟用Windows XP SP2的彈出窗口過濾功能，或者使用Maxthon等具有彈出窗口過濾功能的第三方浏覽器，同樣的項目測試結果就截然不同！具體情況筆者暫不提供，大家可以自己測試對比一下，以便好好體會這位“助手”的能力！

2、“清理痕跡”清理了誰的痕跡？

雅虎助手的“清理痕跡”功能測試,執行清理並得到“當前沒有網址記錄！”，但打開浏覽器的歷史側邊欄，結果如何？

3、插件管理專家別有私心
打開雅虎助手的插件管理專家，其中僅僅“虛心”地把雅虎相冊（Yahoo!Photo）列了出來；但打開浏覽器的加載項對話框，雅虎助手和雅虎助手植入的十幾個加載項卻赫然在目！別家的插件算插件，自己偷偷植入的眾多玩藝一律不算插件，這是什麼邏輯？！

4、把自己的“雅虎搜索”右鍵菜單視為系統默認菜單
再看看“恢復IE外觀”中的“清理IE右鍵菜單”功能。清理後，報告“沒有可清理的菜單！”

但實際上，在浏覽器中右擊鼠標，“雅虎搜索”的雅虎助手附加的菜單項已經如同系統默認菜單項那樣被保存下來。

5、自欺欺人的“清理IE工具條”

試試“清理IE工具條”的效果如何。清理後，報告“沒有可清理的工具條！”，但IE工具欄上被雅虎助手自動植入的那個帶有掃把圖標的工具條和其他幾個按鈕好好的毫發無損。難道它自己的這些就不屬於系統之外的第三方工具條嗎？工具欄按鈕清理也是如此。

6、IE工具欄“重置”功能不能重置雅虎助手植入的工具欄按鈕

既然雅虎助手拒絕給我干活，那麼就用IE本身的功能設置來恢復工具欄按鈕吧。

打開自定義工具欄對話框，點擊“重置”，那些被強行植入的按鈕閃動了一下，片刻又立即得到恢復

系統的基本功能在雅虎助手的作用下已經部分失效！

7、對系統穩定性的影響

在虛擬機環境下，直接在浏覽器地址欄輸入“清華大學”進行搜索，前後測試6次，每次都是立即藍屏。

雖然虛擬機環境與真實環境可能有一些差異，但虛擬機對內存要求較高，系統資源占用較大，據此我們不能確定在真實系統環境也是如此，但起碼可以確定，雅虎助手對系統資源的分配肯定存在某種負面影響（或者是存在某種BUG），在對資源需求較大時，會對系統產生不利影響。

三、雅虎助手對系統的寫入情況剖析

根據網絡實名網站自稱的“詳細技術原理”，我們看看真實情況是否如網站上所告知的那樣。在隨後的檢測項目中，我們看看它“詳細”到什麼程度，用戶和知情權體現在什麼地方。

除了有專門的程序文件夾，雅虎助手還在Windows Downloaded Program Files目錄以隱藏的方式保存其文件以便快速修復；在系統驅動程序目錄植入驅動程序文件並保證安全模式（即使你不上網！）也能夠被加載並且不能被直接刪除。

①安裝網絡實名後的文件植入情況：
●Windows Downloaded Program Files目錄被植入37個文件1個文件夾；
●Windows System32 Drivers目錄植入CnMinPK.sys驅動程序文件。
●Program Files目錄植入目錄名為雅虎助手，共含15個文件和1個文件夾。
共計植入53個文件和2個子文件夾。

②安裝雅虎助手後的文件植入情況：
●Windows Downloaded Program Files目錄被植入30個文件1個文件夾；
●Windows System32 Drivers目錄植入CnMinPK.sys驅動程序文件。
●Program Files目錄植入目錄名為雅虎助手，共含79個文件和7個文件夾。
共計植入114個文件和9個子文件夾。

1、向系統植入的文件

2、 Windows資源管理器中無法查看的隱藏文件和目錄

據安裝前後的注冊表導出比較後得出的不完全統計，系統注冊表被寫入的內容大致如下（因浏覽網頁等操作會導致動態修改，5自學網，因此可能會有一些誤差）：

安裝網絡實名後，注冊表中被寫入122個鍵項、408個鍵值；
安裝雅虎助手後，注冊表中被寫入251個鍵項、656個鍵值。
遺憾的是，按正確的方法卸載、重啟後注冊表項目仍然無法全部被清除！

3、多種途徑實現的自動加載項
網絡實名和雅虎助手聲明以標准系統接口實現自動加載，而且將這些標准接口利用得淋漓盡致！
⑴雅虎助手在注冊表HLM下面的Run鍵項中添加CnsMin、helper.dll、MiniMsgr、yassistse、YLive等多個自動加載模塊，而且卸載、重啟後仍然存在；

⑵通過驅動程序模式加載CnMinPK.sys模塊，實現進程隱藏，並且通過系統本身的Msconfig無法檢測；

⑶通過其多個模塊之間的相互修復和守護實現，實現交叉安裝、修復、加載；

⑷通過嵌入浏覽器幫助對象，實現功能的自動加載；

⑸通過各模塊卸載對話框中的修復選項，誘導用戶在卸載某個模塊的同時，修復和自動加載另一些模塊；

⑹通過捆綁到某些第三方安裝程序，在安裝過程中實現自動安裝和自動加載。

4、 自我守護的進程

安裝雅虎助手後，任務列表中會存在三個進程，其中以Rundll32.exe顯示的兩個進程可以實現自動交叉修復，即一個進程是另外一個進程的守護進程。因此，使用Windows任務管理器是無法順利將它們從內存中關閉的，這點相信多數人深有體會！

5、 植入系統的浏覽器加載項

雅虎助手自動植入系統中的多個浏覽器加載項。用戶的浏覽器成為幾大公司發財的財源基地。余下的就差沒有拿著刀子上門直接搶錢了

6、自動植入浏覽器工具欄的多種無關按鈕

呵呵，安裝後，浏覽器上什麼Yahoo!等亂七八糟的按鈕一股腦兒給你安裝上了，甚至連資源管理器也沒有放過。

7、控制面板添加刪除程序列表中的多余項目

在未被明確告知的情況下，安裝雅虎助手後，控制面板的添加刪除程序列表中會額外加入兩個程序項目。

8、植入系統的系統服務表

使用IceSword這款安全工具檢測系統服務描述表（SSDT），可以發現除Ntoskrnl.exe這個系統內核外，就是網絡實名和雅虎助手的“CnsMinKP.sys”了。搞編程的人知道這做到了什麼級別，普通網民反正“眼不見為淨”。可見功夫真的下到了家了！

9、自動創建的線程情況

從圖可以看出，雅虎助手及其模塊自動創建的線程數之多，在系統總體線程數的比例上是多得令人吃驚的！該圖為未打開任何浏覽器以及其他相關窗口情況下的線程創建情況（部分需滾動才能查看）

10、後台運行的消息鉤子

有興趣的人可以看看圖中的鉤子類型，看看雅虎助手利用的大量鉤子函數