昨天由于工作需要安装了一个cnnic后怎么找都找不到原来的cdnprot.sys驱动。我还以为是我机器有问题,找个机器安装重启还是找不到,怎么cnnic变的这么老实了啊,马上baidu了一下,原来是这样的:
1、CNNIC强制升级了新发布的客户端,强制删除它自身带有的保护型驱动,这其中就包括臭名昭著的fsd inlinehook技术。充分证明现在的流氓软件有足够的能力,短时间内销毁自己作恶的证据,因此,恶意软件从技术上是很难判定的,用一个版本洗白,或者用一个时间段洗白,然后享受作恶带来的胜利果实,是恶意软件制作者的如意算盘!
2、从技术角度上说,随意的增加或者取消系统底层驱动,都可能给用户的机器带来灾难性的后果,如蓝屏,无法进入系统等。CNNIC为一己私立,置用户利益于不顾,爱加则加,爱删则删,完全违背了国家主管机构的初衷。用户的机器被这样不负责任的软件控制,相当危险。
具体跟踪到的过程如下:
CNNIC中文上网于3-14 13:23:51更改了其升级配置文件
cdnvers.dat
对其进行比较后发现
更新部分为将以下几个文件的版本号清零:
cdnns.dll 原版本:2.0.0.0 新版本:0.0.0.0
cdnprot.sys 原版本:2.4.0.27 新版本:0.0.0.0
cdnprot.vxd 原版本:2.1.0.0 新版本:0.0.0.0
cdnprot.dat 原版本:2.2.0.22 新版本:0.0.0.0
以上四个文件就是CNNIC的保护核心
cdnprot.sys和cdnprot.vxd是保护驱动,会进行Fsd inline hook,native api hook,native api inline hook,fsd dispatch hook 等恶意行为
cdnprot.dat是cdnprot保护驱动的打击配置文件,决定了cnnic会对那些产品进行打击(目前包括对3721、腾讯、360等的打击配置)
cdnns.dll是应用层控制cdnprot驱动的程序,位于c:\windows\system32
CNNIC同时修改了其网站上的安装包,将这4个文件从安装包中去除
别人的感言:“今天发现一个动向,CNNIC正对新发布的版本进行短暂洗白,他们自动升级了新发布的客户端,销毁了它带的所有保护性驱动,估计此举是为了避免在两会期间被有心人抓住机会被政府制裁吧。大家可以自行证实:”
“这样做的结果就是安装新的CNNIC后,不再会留有其保护驱动,它可以被直接清除,也就不存在难以卸载的恶意行为,新安装的程序也不会去升级那4个文件,但对已经安装CNNIC的用户来说,这4个文件仍然会存在并起作用,另外由于其升级模块仍然存在,因此只要CNNIC将服务器上cdnvers.dat这4个文件的版本号改回,那些新安装的CNNIC用户仍然会下载启动CNNIC的保护机制,继而重新成为中国最难卸载、删除的流氓软件。况且,即便短暂消灭了难以卸载的罪证,但是它依然存在强制安装等恶意罪状,为世人所不齿”
我通过前后两个版本比较好发现确实是这个问题。看来真的是惧怕两会。呵呵,不懂。不过我们老大是成功的摧毁了cnnic所谓的破冰技术,牛啊。
分享到:
相关推荐
界面开发:VS2008 + MFC 驱动开发:VS2005 + ... 模块(部分代码逆向自cnnic流氓驱动) 5、自我保护模块(借鉴FUTo rootkit,采用了大量而又肮脏DKOM技术) 6、文件过滤模块(基于微软sfilter库)(雏形) ”
CNNIC中国网络购物调查报告
2018年第42次中国互联网络发展状况统计报告(CNNIC).pdf
谈CNNIC的《2021年中国搜索引擎市场研究报告》.docx
第45次中国互联网络发展状况统计报告-CNNIC-202004精品报告2020.rar
答:CNNIC负责为CNNIC发放的IP地址进行反向解析。反向域名解析是以/16或者/24为单位进行的,条件是会员提出申请。 2. 对于不是CNNIC发放的IP地址,CNNIC能否做反向解析? 答:对于不是CNNIC发放的IP地址,CNNIC不能...
CNNIC中文域名注册.pptx
中国互联网报告CNNIC.pdf
CNNIC是什么?.docx
CNNIC通用网址销售合同
CNNIC通用网址销售合同.pdf
CNNIC年度公关传播方案.ppt
CNNIC年度公关传播方案.pptx
CNNIC通用网址销售合同.doc
2022中国互联网报告CNNIC汇编.pdf
CNNIC通用网址销售合同书.doc
CNNIC通用网址销售合同页.pdf