百科解釋
目錄·【關于CNNIC】·【其主要職責】·1.互聯(lián)網(wǎng)地址資源注冊管理·2.互聯(lián)網(wǎng)調查與相關信息服務·3.目錄數(shù)據(jù)庫服務·4.互聯(lián)網(wǎng)尋址技術研發(fā)·5.國際交流與政策調研·6.其他職責·【常見模式及卸載方法】 【關于CNNIC】 中國互聯(lián)網(wǎng)絡信息中心(China Internet Network Information Center,簡稱CNNIC)是經(jīng)國家主管部門批準,于1997年6月3日組建的管理和服務機構,行使國家互聯(lián)網(wǎng)絡信息中心的職責。 作為中國信息社會基礎設施的建設者和運行者,中國互聯(lián)網(wǎng)絡信息中心(CNNIC)以“為我國互聯(lián)網(wǎng)絡用戶提供服務,促進我國互聯(lián)網(wǎng)絡健康、有序發(fā)展”為宗旨,負責管理維護中國互聯(lián)網(wǎng)地址系統(tǒng),引領中國互聯(lián)網(wǎng)地址行業(yè)發(fā)展,權威發(fā)布中國互聯(lián)網(wǎng)統(tǒng)計信息,代表中國參與國際互聯(lián)網(wǎng)社群。 【其主要職責】 1.互聯(lián)網(wǎng)地址資源注冊管理 經(jīng)信息產(chǎn)業(yè)部批準,中國互聯(lián)網(wǎng)絡信息中心(CNNIC)是我國域名注冊管理機構和域名根服務器運行機構。中國互聯(lián)網(wǎng)絡信息中心(CNNIC)負責運行和管理國家頂級域名.CN、中文域名系統(tǒng)及通用網(wǎng)址系統(tǒng),以專業(yè)技術為全球用戶提供不間斷的域名注冊、域名解析和Whois查詢服務。 中國互聯(lián)網(wǎng)絡信息中心(CNNIC)是亞太互聯(lián)網(wǎng)絡信息中心(APNIC)的國家級IP地址注冊機構成員(NIR)。以中國互聯(lián)網(wǎng)絡信息中心(CNNIC)為召集單位的IP地址分配聯(lián)盟,負責為我國的網(wǎng)絡服務提供商(ISP)和網(wǎng)絡用戶提供IP地址和AS號碼的分配管理服務。 2.互聯(lián)網(wǎng)調查與相關信息服務 中國互聯(lián)網(wǎng)絡信息中心(CNNIC)負責開展中國互聯(lián)網(wǎng)絡發(fā)展狀況等多項公益性互聯(lián)網(wǎng)絡統(tǒng)計調查工作。中國互聯(lián)網(wǎng)絡信息中心(CNNIC)的統(tǒng)計調查,其權威性和客觀性已被國內外廣泛認可,得到國際組織(如聯(lián)合國、國際電信聯(lián)盟等)的采納和贊譽,部分指標已經(jīng)納入我國政府年度統(tǒng)計報告。 3.目錄數(shù)據(jù)庫服務 中國互聯(lián)網(wǎng)絡信息中心(CNNIC)負責建立并維護全國最高層次的網(wǎng)絡目錄數(shù)據(jù)庫,提供對域名、IP地址、自治系統(tǒng)號等方面信息的查詢服務。 4.互聯(lián)網(wǎng)尋址技術研發(fā) 中國互聯(lián)網(wǎng)絡信息中心(CNNIC)基于自身網(wǎng)絡服務的管理和研發(fā)經(jīng)驗,積極跟蹤國際互聯(lián)網(wǎng)技術的最新發(fā)展,承擔相關研發(fā)工作和國家有關科研項目。 5.國際交流與政策調研 作為中國國家互聯(lián)網(wǎng)絡信息中心,中國互聯(lián)網(wǎng)絡信息中心(CNNIC)與相關國際組織,以及其他國家和地區(qū)的互聯(lián)網(wǎng)絡信息中心進行業(yè)務協(xié)調與合作。 6.其他職責承擔中國互聯(lián)網(wǎng)協(xié)會政策與資源工作委員會秘書處的工作 7.最主要職責 發(fā)布中文上網(wǎng)的垃圾廣告軟件。該程序占用了系統(tǒng)資源,發(fā)布大量無關信息。并且還和廣大惡意病毒、木馬一樣采用多重防護技術。防止被殺毒軟件清楚。 【常見模式及卸載方法】 幾款殺毒軟件的反饋: SRENG幾乎沒起作用。 AVG可以搜到,但無法完全卸載注冊表和主策略里的篡改。 DR.WEB查到了,也試圖刪了,但效果和AVG一樣。只刪去了主體。 瑞星可以進一步查到,但仍然無法解決無法進入安全模式的問題。 卸載的方法:(除了重裝以外的辦法)——底下的辦法是別人發(fā)的,不完善,敬請補充 首先進入安全模式。把C:Program Files目錄下的CNNIC目錄刪除,然后打開注冊表編輯器。再運行-〉regedit, 在安全模式下就可以刪除這兩個鍵值了。 在安全模式下把Run目錄下的CdnCtr和ExFilter這兩個鍵值刪除。然后對注冊表進行查找。查找一切和CNNIC、cdnup.exe 字符有關的鍵值和目錄。統(tǒng)統(tǒng)刪除。OK,F(xiàn)在再重新啟動機器。煩人的CNNIC終于離我而去了。不過CNNIC這樣被刪除之后。 好像會導致不能在IE窗口中輸入中文。不知道有沒有其它人碰到這種情況。還有一個方法可以避免下次再次運行這個煩人的插件。 新建一個文本文件,內容如下: REGEDIT4 #9A578C98-3C2F-4630-890B-FC04196EF420 /CNNIC [HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility] "Compatibility Flags"=dword:00000400 保存為.reg的文件,然后雙擊執(zhí)行此文件即可。 看看CNNIC中文官方上網(wǎng)都干了些什么: 先來看看它的安裝和卸載,等會專門分析它的安裝過程,先說一下卸載。卸載中文官方上網(wǎng)需要填一個隨即生成的確認碼,這是為了防止競爭同行或類似360 安全助手之類的軟件自動刪除自己,然后執(zhí)行正常的卸載程序。但是問題是卸載干凈了嗎?答案是沒有,有一個殘留的驅動程序仍然駐留在你的系統(tǒng)中,目的是干擾同行或類似360安全助手之類的軟件正常運行,這個邏輯很簡單,不用我?!別的同行軟件你也別想用的好。證據(jù):主驅動程序cdnprot.sys不能刪除,有些安全程序能夠刪除cdnprot.sys,但是CNNIC可沒有那么簡單,他還有一個影子驅動程序,名字是隨機生成的,可能是類似 sdgwuwks.sys之類的名字,這些就殘留在你的系統(tǒng)中了,請神容易送神難。CNNIC在安裝的時候會釋放一個驅動程序,這是一個臨時的,安裝完成后就會刪除,這個驅動程序的目的是檢測別的軟件是否有破壞自己安裝的行為,保證安裝程序能夠正常進行,同時,安裝程序還有反調試的手段,當檢測到自己處于被調試的狀態(tài)時就主動退出,以保護關鍵代碼的安全,做成這樣大概也是同行競爭的結果吧,只是苦了用戶。 一個瀏覽器輔助軟件至于要用到系統(tǒng)底層驅動那種級別嗎?如果僅僅是作個瀏覽器增強功能當然用不到,但是如果做別的流氓行為就需要啦,F(xiàn)在看看 cdnprot.sys驅動程序都干了些什么,首先它Hook了幾個系統(tǒng)關鍵函數(shù),關于這一點我要特別說明一點,很多病毒都是采用這種技術,這些被稱作 rootkit。它和一般的API hook不太一樣,它通過修改ntoskrnl.exe的System Services Des criptor Table,直接hook ntdll.dll中的內核函數(shù),這樣相關的用戶態(tài)API最終都會調到這些底層API,通過hook相關的API可以分析用戶的行為,同時干擾同行軟件的運行。比如文中提到的中文上網(wǎng),它就hook了ZwTerminateProcess,這樣使別的程序(甚至是通過windows的進程管理器)都無法刪除CNNIC的 cdnup.exe進程。因為所有的中止進程都調用的是TerminateProcess API,這最終調用的是ZwTerminateProcess,CNNIC的Hooker函數(shù)判斷參數(shù),發(fā)現(xiàn)是中止自己的程序時就直接返回錯誤,這樣就永遠無法中止cdnup.exe。中文上網(wǎng)還Hook了ZwDeleteValueKey,目的是相同的,所有注冊表刪除操作都要經(jīng)過Hooker的過濾,發(fā)現(xiàn)是刪除自己的東西的時候就直接返回錯誤。使用rootkit Hooker函數(shù)對系統(tǒng)安全構成了威脅,不僅影響系統(tǒng)的穩(wěn)定性,嚴重的還會通過Hooker收集用戶的信息,造成信息安全泄漏。對CNNIC的 hooker還要進一步分析才能判定它到底有什么危害,不過有一點可以證明的是,CNNIC的中文上網(wǎng)Hooker了 ZwSetSecurityObject,并嚴重干擾了這個函數(shù)的正常功能,這是一個給用戶帳號賦予權限的函數(shù),CNNIC的中文上網(wǎng)為了防止用戶使用 SDTrestore工具恢復系統(tǒng)的SSDT(System Services Des criptor Table),所以hooker了這個函數(shù),使得SDTrestore工具無法獲得權限正常運行,但是這種行為已經(jīng)影響到了依賴與這個函數(shù)的軟件的運行, SDTrestore就是受害者之一。順便說一下,cdnup.exe一開始是正常的,可以中止,而且對用戶沒有任何功能(只是為了檢查升級,這很無聊,我需要檢查升級的時候我會運行你的,用不找你這么熱心一直運行吧?),只是為了監(jiān)控它的驅動程序是否受到了別的軟件的進攻,如果發(fā)現(xiàn)有別的軟件“惡意”刪除自己,他就會處于一種癲狂狀態(tài),此時無法中止也不能從注冊表中刪除相關的啟動項。 中文上網(wǎng)的驅動程序不是只安裝一個,而是一次裝三個,目的是為了互相監(jiān)視,互相保護,想的倒上周到,只是用戶倒霉了,占用系統(tǒng)資源還不說,什么時候來個藍屏也不知道是怎么回事。 CNNIC的中文上網(wǎng)還會在Winsock2的SPI接口上做手腳,先來介紹一下SPI。Winsock2提供了LSP(Layer Service Provider: 層服務提供者)接口標準SPI,允許應用軟件開發(fā)商對Winsock進行擴展,對傳輸層的TCP/UDP等網(wǎng)絡協(xié)議進行專門的數(shù)據(jù)流控制(如加密/解密、監(jiān)控)和錯誤控制等。各層LSP實現(xiàn)不同開發(fā)商對Winsock DLL的擴展,以支持不同目的的網(wǎng)絡數(shù)據(jù)流控制操作。而基本服務提供者實現(xiàn)最基本的TCP 協(xié)議堆棧的功能。明白了吧,這其實就是一個過濾器,給使用者提供了發(fā)現(xiàn)和使用任意數(shù)量的底層傳輸協(xié)議所提供的通信能力,中文上網(wǎng)用它來做一些URL重定向,其它還做了什么就不得而知了。很多廣告彈出者就是利用了這一點,如果你上網(wǎng)時經(jīng)常彈出一些廣告窗口,又在注冊表中找不到線索,那不妨研究一下你的機器上是否被裝了SPI。 安裝程序還會暗自生成一個BHO,這個是捆綁“銷售”,不要也得要,這個BHO是隨機命名的,被安置在windows目錄下的Downloaded Program Files中,這一招夠歹毒,因為在資源管理器中查看這個目錄下是看不到文件的,很容易被忽略,不過在dos窗口中它就原形畢露。一個瀏覽器助手需要被裝到這個地方,足以說明這不是什么好鳥。順便說一下,這個BHO做的也是很歹毒的,用了殼,還對內部代碼加密了,每次生成這個文件的時候都會修改文件的大小,同時還修改相應的注冊GUID和CLSID,這使得一些靠判斷注冊表中GUID和CLSID來免疫和刪除插件的一些小工具變得無效。刪除方式很簡單,將這個目錄中的dll全部刪除就行了。
移動通信網(wǎng) | 通信人才網(wǎng) | 更新日志 | 團隊博客 | 免責聲明 | 關于詞典 | 幫助