全面剖析雅虎助手以及网络实名的流氓行径(5)

4、 自我守护的进程

如图16，安装雅虎助手后，任务列表中会存在三个进程，其中以Rundll32.exe显示的两个进程可以实现自动交叉修复，即一个进程是另外一个进程的守护进程。因此，使用Windows任务管理器是无法顺利将它们从内存中关闭的，这点相信多数人深有体会！

图16 创建多个进程并且可自我守护



5、 植入系统的浏览器加载项

图17是雅虎助手自动植入系统中的多个浏览器加载项。用户的浏览器成为几大公司发财的财源基地。余下的就差没有拿着刀子上门直接抢钱了



6、自动植入浏览器工具栏的多种无关按钮
呵呵，安装后，浏览器上什么Yahoo!等乱七八糟的按钮一股脑儿给你安装上了，甚至连资源管理器也没有放过。

7、控制面板添加删除程序列表中的多余项目
在未被明确告知的情况下，安装雅虎助手后，控制面板的添加删除程序列表中会额外加入两个程序项目。

8、植入系统的系统服务表

使用IceSword这款安全工具检测系统服务描述表（SSDT），可以发现除Ntoskrnl.exe这个系统内核外，就是网络实名和雅虎助手的“CnsMinKP.sys”了。搞编程的人知道这做到了什么级别，普通网民反正“眼不见为净”。可见功夫真的下到了家了！（图18）



9、自动创建的线程情况

从图可以看出，雅虎助手及其模块自动创建的线程数之多，在系统总体线程数的比例上是多得令人吃惊的！该图为未打开任何浏览器以及其他相关窗口情况下的线程创建情况（部分需滚动才能查看）（图19)



全面剖析雅虎助手以及网络实名的流氓行径(1)
全面剖析雅虎助手以及网络实名的流氓行径(2)
全面剖析雅虎助手以及网络实名的流氓行径(3)
全面剖析雅虎助手以及网络实名的流氓行径(4)
全面剖析雅虎助手以及网络实名的流氓行径(6)
全面剖析雅虎助手以及网络实名的流氓行径(7)
全面剖析雅虎助手以及网络实名的流氓行径(8)
全面剖析雅虎助手以及网络实名的流氓行径(9)