CNNIC

目錄
·【關(guān)于CNNIC】
·【其主要職責(zé)】
·1．互聯(lián)網(wǎng)地址資源注冊(cè)管理
·2．互聯(lián)網(wǎng)調(diào)查與相關(guān)信息服務(wù)
·3．目錄數(shù)據(jù)庫(kù)服務(wù)
·4．互聯(lián)網(wǎng)尋址技術(shù)研發(fā)
·5．國(guó)際交流與政策調(diào)研
·6．其他職責(zé)
·【常見(jiàn)模式及卸載方法】






   
【關(guān)于CNNIC】


中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（China Internet Network Information Center，簡(jiǎn)稱CNNIC）是經(jīng)國(guó)家主管部門批準(zhǔn)，于1997年6月3日組建的管理和服務(wù)機(jī)構(gòu)，行使國(guó)家互聯(lián)網(wǎng)絡(luò)信息中心的職責(zé)。

作為中國(guó)信息社會(huì)基礎(chǔ)設(shè)施的建設(shè)者和運(yùn)行者，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）以“為我國(guó)互聯(lián)網(wǎng)絡(luò)用戶提供服務(wù)，促進(jìn)我國(guó)互聯(lián)網(wǎng)絡(luò)健康、有序發(fā)展”為宗旨，負(fù)責(zé)管理維護(hù)中國(guó)互聯(lián)網(wǎng)地址系統(tǒng)，引領(lǐng)中國(guó)互聯(lián)網(wǎng)地址行業(yè)發(fā)展，權(quán)威發(fā)布中國(guó)互聯(lián)網(wǎng)統(tǒng)計(jì)信息，代表中國(guó)參與國(guó)際互聯(lián)網(wǎng)社群。


【其主要職責(zé)】


1．互聯(lián)網(wǎng)地址資源注冊(cè)管理


經(jīng)信息產(chǎn)業(yè)部批準(zhǔn)，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）是我國(guó)域名注冊(cè)管理機(jī)構(gòu)和域名根服務(wù)器運(yùn)行機(jī)構(gòu)。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）負(fù)責(zé)運(yùn)行和管理國(guó)家頂級(jí)域名.CN、中文域名系統(tǒng)及通用網(wǎng)址系統(tǒng)，以專業(yè)技術(shù)為全球用戶提供不間斷的域名注冊(cè)、域名解析和Whois查詢服務(wù)。

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）是亞太互聯(lián)網(wǎng)絡(luò)信息中心（APNIC）的國(guó)家級(jí)IP地址注冊(cè)機(jī)構(gòu)成員（NIR）。以中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）為召集單位的IP地址分配聯(lián)盟，負(fù)責(zé)為我國(guó)的網(wǎng)絡(luò)服務(wù)提供商（ISP）和網(wǎng)絡(luò)用戶提供IP地址和AS號(hào)碼的分配管理服務(wù)。


2．互聯(lián)網(wǎng)調(diào)查與相關(guān)信息服務(wù)


中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）負(fù)責(zé)開展中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r等多項(xiàng)公益性互聯(lián)網(wǎng)絡(luò)統(tǒng)計(jì)調(diào)查工作。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）的統(tǒng)計(jì)調(diào)查，其權(quán)威性和客觀性已被國(guó)內(nèi)外廣泛認(rèn)可，得到國(guó)際組織（如聯(lián)合國(guó)、國(guó)際電信聯(lián)盟等）的采納和贊譽(yù)，部分指標(biāo)已經(jīng)納入我國(guó)政府年度統(tǒng)計(jì)報(bào)告。


3．目錄數(shù)據(jù)庫(kù)服務(wù)


中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）負(fù)責(zé)建立并維護(hù)全國(guó)最高層次的網(wǎng)絡(luò)目錄數(shù)據(jù)庫(kù)，提供對(duì)域名、IP地址、自治系統(tǒng)號(hào)等方面信息的查詢服務(wù)。


4．互聯(lián)網(wǎng)尋址技術(shù)研發(fā)


中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）基于自身網(wǎng)絡(luò)服務(wù)的管理和研發(fā)經(jīng)驗(yàn)，積極跟蹤國(guó)際互聯(lián)網(wǎng)技術(shù)的最新發(fā)展，承擔(dān)相關(guān)研發(fā)工作和國(guó)家有關(guān)科研項(xiàng)目。


5．國(guó)際交流與政策調(diào)研


作為中國(guó)國(guó)家互聯(lián)網(wǎng)絡(luò)信息中心，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）與相關(guān)國(guó)際組織，以及其他國(guó)家和地區(qū)的互聯(lián)網(wǎng)絡(luò)信息中心進(jìn)行業(yè)務(wù)協(xié)調(diào)與合作。



6．其他職責(zé)
承擔(dān)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)政策與資源工作委員會(huì)秘書處的工作


7．最主要職責(zé)
發(fā)布中文上網(wǎng)的垃圾廣告軟件。該程序占用了系統(tǒng)資源，發(fā)布大量無(wú)關(guān)信息。并且還和廣大惡意病毒、木馬一樣采用多重防護(hù)技術(shù)。防止被殺毒軟件清楚。

【常見(jiàn)模式及卸載方法】


幾款殺毒軟件的反饋：
SRENG幾乎沒(méi)起作用。
AVG可以搜到，但無(wú)法完全卸載注冊(cè)表和主策略里的篡改。
DR.WEB查到了，也試圖刪了，但效果和AVG一樣。只刪去了主體。
瑞星可以進(jìn)一步查到，但仍然無(wú)法解決無(wú)法進(jìn)入安全模式的問(wèn)題。

卸載的方法：(除了重裝以外的辦法)——底下的辦法是別人發(fā)的，不完善，敬請(qǐng)補(bǔ)充
首先進(jìn)入安全模式。把C:Program Files目錄下的CNNIC目錄刪除，然后打開注冊(cè)表編輯器。再運(yùn)行-〉regedit，
在安全模式下就可以刪除這兩個(gè)鍵值了。
在安全模式下把Run目錄下的CdnCtr和ExFilter這兩個(gè)鍵值刪除。然后對(duì)注冊(cè)表進(jìn)行查找。查找一切和CNNIC、cdnup.exe
字符有關(guān)的鍵值和目錄。統(tǒng)統(tǒng)刪除。OK�，F(xiàn)在再重新啟動(dòng)機(jī)器。煩人的CNNIC終于離我而去了。不過(guò)CNNIC這樣被刪除之后。
好像會(huì)導(dǎo)致不能在IE窗口中輸入中文。不知道有沒(méi)有其它人碰到這種情況。還有一個(gè)方法可以避免下次再次運(yùn)行這個(gè)煩人的插件。
新建一個(gè)文本文件，內(nèi)容如下：
REGEDIT4
#9A578C98-3C2F-4630-890B-FC04196EF420 /CNNIC
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility]
"Compatibility Flags"=dword:00000400
保存為.reg的文件，然后雙擊執(zhí)行此文件即可。

看看CNNIC中文官方上網(wǎng)都干了些什么：

先來(lái)看看它的安裝和卸載，等會(huì)專門分析它的安裝過(guò)程，先說(shuō)一下卸載。卸載中文官方上網(wǎng)需要填一個(gè)隨即生成的確認(rèn)碼，這是為了防止競(jìng)爭(zhēng)同行或類似360 安全助手之類的軟件自動(dòng)刪除自己，然后執(zhí)行正常的卸載程序。但是問(wèn)題是卸載干凈了嗎？答案是沒(méi)有，有一個(gè)殘留的驅(qū)動(dòng)程序仍然駐留在你的系統(tǒng)中，目的是干擾同行或類似360安全助手之類的軟件正常運(yùn)行，這個(gè)邏輯很簡(jiǎn)單，不用我？！別的同行軟件你也別想用的好。證據(jù)：主驅(qū)動(dòng)程序cdnprot.sys不能刪除，有些安全程序能夠刪除cdnprot.sys，但是CNNIC可沒(méi)有那么簡(jiǎn)單，他還有一個(gè)影子驅(qū)動(dòng)程序，名字是隨機(jī)生成的，可能是類似 sdgwuwks.sys之類的名字，這些就殘留在你的系統(tǒng)中了，請(qǐng)神容易送神難。CNNIC在安裝的時(shí)候會(huì)釋放一個(gè)驅(qū)動(dòng)程序，這是一個(gè)臨時(shí)的，安裝完成后就會(huì)刪除，這個(gè)驅(qū)動(dòng)程序的目的是檢測(cè)別的軟件是否有破壞自己安裝的行為，保證安裝程序能夠正常進(jìn)行，同時(shí)，安裝程序還有反調(diào)試的手段，當(dāng)檢測(cè)到自己處于被調(diào)試的狀態(tài)時(shí)就主動(dòng)退出，以保護(hù)關(guān)鍵代碼的安全，做成這樣大概也是同行競(jìng)爭(zhēng)的結(jié)果吧，只是苦了用戶。

一個(gè)瀏覽器輔助軟件至于要用到系統(tǒng)底層驅(qū)動(dòng)那種級(jí)別嗎？如果僅僅是作個(gè)瀏覽器增強(qiáng)功能當(dāng)然用不到，但是如果做別的流氓行為就需要啦�，F(xiàn)在看看 cdnprot.sys驅(qū)動(dòng)程序都干了些什么，首先它Hook了幾個(gè)系統(tǒng)關(guān)鍵函數(shù)，關(guān)于這一點(diǎn)我要特別說(shuō)明一點(diǎn)，很多病毒都是采用這種技術(shù)，這些被稱作 rootkit。它和一般的API hook不太一樣，它通過(guò)修改ntoskrnl.exe的System Services Des criptor Table，直接hook ntdll.dll中的內(nèi)核函數(shù)，這樣相關(guān)的用戶態(tài)API最終都會(huì)調(diào)到這些底層API，通過(guò)hook相關(guān)的API可以分析用戶的行為，同時(shí)干擾同行軟件的運(yùn)行。比如文中提到的中文上網(wǎng)，它就hook了ZwTerminateProcess，這樣使別的程序（甚至是通過(guò)windows的進(jìn)程管理器）都無(wú)法刪除CNNIC的 cdnup.exe進(jìn)程。因?yàn)樗�有的中止進(jìn)程都調(diào)用的是TerminateProcess API，這最終調(diào)用的是ZwTerminateProcess，CNNIC的Hooker函數(shù)判斷參數(shù)，發(fā)現(xiàn)是中止自己的程序時(shí)就直接返回錯(cuò)誤，這樣就永遠(yuǎn)無(wú)法中止cdnup.exe。中文上網(wǎng)還Hook了ZwDeleteValueKey，目的是相同的，所有注冊(cè)表刪除操作都要經(jīng)過(guò)Hooker的過(guò)濾，發(fā)現(xiàn)是刪除自己的東西的時(shí)候就直接返回錯(cuò)誤。使用rootkit Hooker函數(shù)對(duì)系統(tǒng)安全構(gòu)成了威脅，不僅影響系統(tǒng)的穩(wěn)定性，嚴(yán)重的還會(huì)通過(guò)Hooker收集用戶的信息，造成信息安全泄漏。對(duì)CNNIC的 hooker還要進(jìn)一步分析才能判定它到底有什么危害，不過(guò)有一點(diǎn)可以證明的是，CNNIC的中文上網(wǎng)Hooker了 ZwSetSecurityObject，并嚴(yán)重干擾了這個(gè)函數(shù)的正常功能，這是一個(gè)給用戶帳號(hào)賦予權(quán)限的函數(shù)，CNNIC的中文上網(wǎng)為了防止用戶使用 SDTrestore工具恢復(fù)系統(tǒng)的SSDT（System Services Des criptor Table），所以hooker了這個(gè)函數(shù)，使得SDTrestore工具無(wú)法獲得權(quán)限正常運(yùn)行，但是這種行為已經(jīng)影響到了依賴與這個(gè)函數(shù)的軟件的運(yùn)行， SDTrestore就是受害者之一。順便說(shuō)一下，cdnup.exe一開始是正常的，可以中止，而且對(duì)用戶沒(méi)有任何功能（只是為了檢查升級(jí)，這很無(wú)聊，我需要檢查升級(jí)的時(shí)候我會(huì)運(yùn)行你的，用不找你這么熱心一直運(yùn)行吧？），只是為了監(jiān)控它的驅(qū)動(dòng)程序是否受到了別的軟件的進(jìn)攻，如果發(fā)現(xiàn)有別的軟件“惡意”刪除自己，他就會(huì)處于一種癲狂狀態(tài)，此時(shí)無(wú)法中止也不能從注冊(cè)表中刪除相關(guān)的啟動(dòng)項(xiàng)。

中文上網(wǎng)的驅(qū)動(dòng)程序不是只安裝一個(gè)，而是一次裝三個(gè)，目的是為了互相監(jiān)視，互相保護(hù)，想的倒上周到，只是用戶倒霉了，占用系統(tǒng)資源還不說(shuō)，什么時(shí)候來(lái)個(gè)藍(lán)屏也不知道是怎么回事。

CNNIC的中文上網(wǎng)還會(huì)在Winsock2的SPI接口上做手腳，先來(lái)介紹一下SPI。Winsock2提供了LSP（Layer Service Provider: 層服務(wù)提供者）接口標(biāo)準(zhǔn)SPI，允許應(yīng)用軟件開發(fā)商對(duì)Winsock進(jìn)行擴(kuò)展，對(duì)傳輸層的TCP/UDP等網(wǎng)絡(luò)協(xié)議進(jìn)行專門的數(shù)據(jù)流控制（如加密/解密、監(jiān)控）和錯(cuò)誤控制等。各層LSP實(shí)現(xiàn)不同開發(fā)商對(duì)Winsock DLL的擴(kuò)展，以支持不同目的的網(wǎng)絡(luò)數(shù)據(jù)流控制操作。而基本服務(wù)提供者實(shí)現(xiàn)最基本的TCP 協(xié)議堆棧的功能。明白了吧，這其實(shí)就是一個(gè)過(guò)濾器，給使用者提供了發(fā)現(xiàn)和使用任意數(shù)量的底層傳輸協(xié)議所提供的通信能力，中文上網(wǎng)用它來(lái)做一些URL重定向，其它還做了什么就不得而知了。很多廣告彈出者就是利用了這一點(diǎn)，如果你上網(wǎng)時(shí)經(jīng)常彈出一些廣告窗口，又在注冊(cè)表中找不到線索，那不妨研究一下你的機(jī)器上是否被裝了SPI。

安裝程序還會(huì)暗自生成一個(gè)BHO，這個(gè)是捆綁“銷售”，不要也得要，這個(gè)BHO是隨機(jī)命名的，被安置在windows目錄下的Downloaded Program Files中，這一招夠歹毒，因?yàn)樵谫Y源管理器中查看這個(gè)目錄下是看不到文件的，很容易被忽略，不過(guò)在dos窗口中它就原形畢露。一個(gè)瀏覽器助手需要被裝到這個(gè)地方，足以說(shuō)明這不是什么好鳥。順便說(shuō)一下，這個(gè)BHO做的也是很歹毒的，用了殼，還對(duì)內(nèi)部代碼加密了，每次生成這個(gè)文件的時(shí)候都會(huì)修改文件的大小，同時(shí)還修改相應(yīng)的注冊(cè)GUID和CLSID，這使得一些靠判斷注冊(cè)表中GUID和CLSID來(lái)免疫和刪除插件的一些小工具變得無(wú)效。刪除方式很簡(jiǎn)單，將這個(gè)目錄中的dll全部刪除就行了。

   

• 通信詞典解釋