|
 | 作者: yuncocoon [yuncocoon]
 论坛用户 |
登录 |
| 我无意中在一个论坛里看到的,以下是原文。 我是个搞技术的,这两天上网一直不是很顺利,特别是上百度去查资料,很多死连接,开始我以为是网络的问题,可是其它网站上的去,因此我排除了网络原因。 经过一番杀毒大战后我又排除了病毒原因。、 于是我反编译了我机器里唯一和浏览器相关的程序――3721的网络实名插件。当我看到3721程序代码的时候,当时吓出了一身冷汗。原来这个程序有个后门,所有的人都不知道存在着个后门。而 3721的其他程序就通过这个后门进进出出。在这个程序中我发现了一段代码,就是它!!!造成了我上网不顺畅!!(3721网络实名通过在CnsHook.dll这个文件的设置,实现对百度网页的屏蔽,在CnsHook.dll文件里面有http://www3.baidu.com/baidu.php?url=的常量代码,是用来屏蔽该url的,这个dll会注册在窗户bho接口下,即浏览器每次访问网页面的时候都会调用这个接口,在发现是访问含有上面特征码的url的时候,该dll就会取消访问,导致即最后访问失败;此时,如果更换其他浏览器,可以正常访问百度页面。删除3721网络实名程序后,访问百度页面恢复正常。) 这段代码就像一个机器人一样,在这段代码后边,如果加上http://www.sina.com.cn,那么新浪网你就上不去了,加上http://www.sohu.com.cn,搜狐就上不去了,也就是说3721高兴屏蔽谁就屏蔽谁!!,听说 3721病毒插件覆盖率很高,恐怖!!原来你上那个网站得听 3721的,他叫你上哪个就上哪个,他不让你上哪个,你就上不去,恐怖!!! |
| 地主 发表时间: 04-03-09 09:20 |
 | 回复: newmyth21 [newmyth21]  论坛用户 |
登录 |
|
没什么 |
| B1层 发表时间: 04-03-09 09:21 |
 | 回复: bridex [bridex]  论坛用户 |
登录 |
建议您闯入3721网站修改其网代码和插件! 这样的病毒大网站很多呀,国家也不管管.  汗~~~~ |
| B2层 发表时间: 04-03-09 09:36 |
| 回复: fsnow [fsnow]  论坛用户 |
登录 |
|
建议 干掉3721 大家一起上 DDOS |
| B3层 发表时间: 04-03-09 10:23 |
 | 回复: chiru [chiru]  论坛用户 |
登录 |
|
不用就行了呗. |
| B4层 发表时间: 04-03-09 10:54 |
| 回复: yuncocoon [yuncocoon] 论坛用户 |
登录 |
引用: |
| B5层 发表时间: 04-03-09 11:13 |
 | 回复: fsqer [fsqer] 论坛用户 |
登录 |
我看找个高手把那个文件改了,改成不让上3721~~~ |
| B6层 发表时间: 04-03-09 15:24 |
| 回复: loveshao [loveshao] 论坛用户 |
登录 |
|
是不是哦。。 |
| B7层 发表时间: 04-03-09 15:56 |
| 回复: georgeju [georgeju] 论坛用户 |
登录 |
|
3721本来就不是什么好货~~~~~ |
| B8层 发表时间: 04-03-09 18:17 |
 | 回复: xhw_73 [xhw_73] 论坛用户 |
登录 |
|
3721是垃圾呀 我就不喜欢用 |
| B9层 发表时间: 04-03-09 19:17 |
| 回复: haowei111 [haowei111] 论坛用户 |
登录 |
|
我也没用3721 人家辛苦花钱做广告也不容易啊 干吗屏蔽掉 我就是要看 |
| B10层 发表时间: 04-03-09 19:26 |
 | 回复: zp88zp [zp88zp]  论坛用户 |
登录 |
这样的鸟蛋干掉它得了!! |
| B11层 发表时间: 04-03-09 21:04 |
| 回复: jerry_ye [jerry_ye] 论坛用户 |
登录 |
|
我都没用 要他来有刁用  |
| B12层 发表时间: 04-03-10 20:46 |
| 回复: newmyth21 [newmyth21] 论坛用户 |
登录 |
|
偶用它,因为方便。 |
| B13层 发表时间: 04-03-11 08:52 |
| 回复: lobam [xx_js] 论坛用户 |
登录 |
|
3721本来就很垃圾,它会在你的电脑中装下很多间谍程序,来收集你的个人信息.而且它还在程序中加入一些编成技巧,使你很难把它清除掉 所以一直以来程序员对它都很鄙视. |
| B14层 发表时间: 04-03-11 11:29 |
| 回复: lobam [xx_js] 论坛用户 |
登录 |
|
[转载]3721驻留机制简单研究 Quaful@水木清华 简单研究了一下3721的机制,写在这里,作为心得笔记吧。大部分收获都来自 Softice + 反汇编,不一定适用于某些版本。 1. CnsMin.dll的驻留方式 3721的核心文件:CnsMin.dll 通常存在于<Windows Directory>\Downloaded Program Files下。 通过注册表Run键值加载:Rundll32 <dir>\CnsMin.dll, Rundll32 CnsMin.dll提供了一个函数Rundll32供Rundll32.exe调用 但这个函数只是调用一个真正的驻留函数Rundll32Main()。 Rundll32Main()伪代码: void Rundll32Main() { hMutex = CreateMutex("CNSMINMUTEX"); if(ERROR_ALREADY_EXISTS) { CloseHandle(hMutex); exit; } if(IsWindowsNT()) { SetProcessSecurityInfo(); } else { RegisterProcessAsService(); } CheckVersion(); // CnsMinKP.sys/vxd 内核驱动程序,保护3721关键文件和注册表项不被删除 ContactWithCnsMinKPDriver(); // 关键的hook,负责将CnsMin.dll注入其他进程空间 InstallCBTHook(); // 关键的hook,负责将CnsMin.dll注入其他进程空间 InstallCallWndProcHook(); // CnsMinIO.dll 负责IE地址栏下方的提示 InitCnsMinIO(); // 一些注册表信息 InitRegistry(); // 保护CnsMin.dll的钩子不被卸载或抢先 InstallGuardTimer(); CreateMsgWindow(); // Message loop while (true) { GetMessage(&msg); TranslateMessage(&msg); DispatchMessage(&msg); } } CnsMin主要是通过WH_CBT和WH_CALLWNDPROC两个全局钩子注入IE进程空间的。注入 IE后,又安装了WH_KEYBOARD,WH_DEBUG等钩子。其中对3721实现其“实名转换” 有用的是WH_KEYBOARD。这是一个本地钩子。 CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,无疑会造成 系统性能的下降。 我曾经尝试过自己安装一个WH_DEBUG钩子阻止3721钩子的调用,确实起到了效果, 立即可以使3721失效。但这种方法3721仍然驻留IE进程内,属于指标不治本的方法。 强制结束Rundll32进程,可以暂时卸载3721的驻留代码。但CnsMin.dll通过COM注册已经 嵌入IE组件中,重新启动IE后,该进程又会重新启动。 2. 3721的防删除手段 文件系统驱动:CnsMinKP*.sys 针对NT/2000/XP有不同版本(98下面是CnsMinKP.vxd) 通常存在于<System directory>\drivers\目录。 驱动程序,由Windows启动时加载。 该驱动程序过滤了对文件和注册表的删除操作。试图删除3721的关键文件和注册表项时, 直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。 该驱动程序还有一个黑名单(保存在某个外部文件中),阻止Windows读取其他3721的 竞争对手的插件文件。 目前还没有找到停止该驱动的方法。 删除方法:在Windows启动前(例如,98下面退出到DOS)删除CnsMinKP*.sys文件。 注意:3721具有自恢复能力。某些关键文件被删除后,其它模块会试图从3721网站重新 下载。所以彻底删除前需要断开网络连接。 3. 针对目前版本的删除步骤: a) 运行3721自己提供的删除程序。可以删掉大部分的文件。 b) 从DOS启动,删除残存文件,如CnsMin.dll,CnsMinKP*.*等 可能的目录:Downloaded Program Files目录,Program Files\3721目录,drivers目录 c) 启动Windows,进入桌面时Windows会报告一些模块找不到的错误,不用理会,删除 注册表中3721的值。 可能的位置:HKEY_CURRENT_USER: Software\3721 HKEY_LOCAL_MACHINE: Windows\CurrentVersion\Run SYSTEM\CurrentControlSet 另外还零散的藏了一些,用关键字查找。 |
| B15层 发表时间: 04-03-11 11:38 |
| 回复: kuro [kuro]  论坛用户 |
登录 |
|
别啊 3721是东东 |
| B16层 发表时间: 04-03-27 14:31 |
 | 回复: baker [zhangxinyu] 论坛用户 |
登录 |
|
删了删了 |
| B17层 发表时间: 04-03-27 17:12 |
| 回复: cococo [cococo] 论坛用户 |
登录 |
|
反编译3721实用程序?! 大概是吹牛没写草稿 |
| B18层 发表时间: 04-03-27 18:24 |
| 回复: newmyth21 [newmyth21] 论坛用户 |
登录 |
|
最近老是用不了搜索,也不知是什么原因 |
| B19层 发表时间: 04-03-27 19:06 |
 | 回复: guang0701 [guang0701] 论坛用户 |
登录 |
|
网上还有和3721一样功能的程序吗? |
| B20层 发表时间: 04-03-28 11:20 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 惊天大内幕!!3721可以控制你的电脑!!