CNNIC驱动变化问题

      昨天由于工作需要安装了一个cnnic后怎么找都找不到原来的cdnprot.sys驱动。我还以为是我机器有问题，找个机器安装重启还是找不到，怎么cnnic变的这么老实了啊，马上baidu了一下，原来是这样的： 
 
    1、CNNIC强制升级了新发布的客户端，强制删除它自身带有的保护型驱动，这其中就包括臭名昭著的fsd inlinehook技术。充分证明现在的流氓软件有足够的能力，短时间内销毁自己作恶的证据，因此，恶意软件从技术上是很难判定的，用一个版本洗白，或者用一个时间段洗白，然后享受作恶带来的胜利果实，是恶意软件制作者的如意算盘！   
    2、从技术角度上说，随意的增加或者取消系统底层驱动，都可能给用户的机器带来灾难性的后果，如蓝屏，无法进入系统等。CNNIC为一己私立，置用户利益于不顾，爱加则加，爱删则删，完全违背了国家主管机构的初衷。用户的机器被这样不负责任的软件控制，相当危险。  
具体跟踪到的过程如下：  
CNNIC中文上网于3-14 13:23:51更改了其升级配置文件

cdnvers.dat

对其进行比较后发现

更新部分为将以下几个文件的版本号清零:

cdnns.dll 原版本:2.0.0.0  新版本:0.0.0.0

cdnprot.sys 原版本:2.4.0.27 新版本:0.0.0.0

cdnprot.vxd 原版本:2.1.0.0 新版本:0.0.0.0

cdnprot.dat 原版本:2.2.0.22 新版本:0.0.0.0

以上四个文件就是CNNIC的保护核心

  cdnprot.sys和cdnprot.vxd是保护驱动，会进行Fsd inline hook,native api hook,native api inline hook,fsd dispatch hook 等恶意行为

  cdnprot.dat是cdnprot保护驱动的打击配置文件，决定了cnnic会对那些产品进行打击(目前包括对3721、腾讯、360等的打击配置)

  cdnns.dll是应用层控制cdnprot驱动的程序,位于c:\windows\system32

  CNNIC同时修改了其网站上的安装包，将这4个文件从安装包中去除

    别人的感言：“今天发现一个动向，CNNIC正对新发布的版本进行短暂洗白，他们自动升级了新发布的客户端，销毁了它带的所有保护性驱动，估计此举是为了避免在两会期间被有心人抓住机会被政府制裁吧。大家可以自行证实：”
   “这样做的结果就是安装新的CNNIC后，不再会留有其保护驱动，它可以被直接清除，也就不存在难以卸载的恶意行为，新安装的程序也不会去升级那4个文件，但对已经安装CNNIC的用户来说，这4个文件仍然会存在并起作用，另外由于其升级模块仍然存在，因此只要CNNIC将服务器上cdnvers.dat这4个文件的版本号改回，那些新安装的CNNIC用户仍然会下载启动CNNIC的保护机制，继而重新成为中国最难卸载、删除的流氓软件。况且，即便短暂消灭了难以卸载的罪证，但是它依然存在强制安装等恶意罪状，为世人所不齿”
     我通过前后两个版本比较好发现确实是这个问题。看来真的是惧怕两会。呵呵，不懂。不过我们老大是成功的摧毁了cnnic所谓的破冰技术，牛啊。