CNNIC

目录·【关于CNNIC】
·【其主要职责】
·1.互联网地址资源注册管理
·2.互联网调查与相关信息服务
·3.目录数据库服务
·4.互联网寻址技术研发
·5.国际交流与政策调研
·6.其他职责
·【常见模式及卸载方法】





   
【关于CNNIC】


中国互联网络信息中心(China Internet Network Information Center,简称CNNIC)是经国家主管部门批准,于1997年6月3日组建的管理和服务机构,行使国家互联网络信息中心的职责。

作为中国信息社会基础设施的建设者和运行者,中国互联网络信息中心(CNNIC)以“为我国互联网络用户提供服务,促进我国互联网络健康、有序发展”为宗旨,负责管理维护中国互联网地址系统,引领中国互联网地址行业发展,权威发布中国互联网统计信息,代表中国参与国际互联网社群。

【其主要职责】

1.互联网地址资源注册管理


经信息产业部批准,中国互联网络信息中心(CNNIC)是我国域名注册管理机构和域名根服务器运行机构。中国互联网络信息中心(CNNIC)负责运行和管理国家顶级域名.CN、中文域名系统及通用网址系统,以专业技术为全球用户提供不间断的域名注册、域名解析和Whois查询服务。

中国互联网络信息中心(CNNIC)是亚太互联网络信息中心(APNIC)的国家级IP地址注册机构成员(NIR)。以中国互联网络信息中心(CNNIC)为召集单位的IP地址分配联盟,负责为我国的网络服务提供商(ISP)和网络用户提供IP地址和AS号码的分配管理服务。

2.互联网调查与相关信息服务


中国互联网络信息中心(CNNIC)负责开展中国互联网络发展状况等多项公益性互联网络统计调查工作。中国互联网络信息中心(CNNIC)的统计调查,其权威性和客观性已被国内外广泛认可,得到国际组织(如联合国、国际电信联盟等)的采纳和赞誉,部分指标已经纳入我国政府年度统计报告。

3.目录数据库服务


中国互联网络信息中心(CNNIC)负责建立并维护全国最高层次的网络目录数据库,提供对域名、IP地址、自治系统号等方面信息的查询服务。

4.互联网寻址技术研发


中国互联网络信息中心(CNNIC)基于自身网络服务的管理和研发经验,积极跟踪国际互联网技术的最新发展,承担相关研发工作和国家有关科研项目。

5.国际交流与政策调研


作为中国国家互联网络信息中心,中国互联网络信息中心(CNNIC)与相关国际组织,以及其他国家和地区的互联网络信息中心进行业务协调与合作。


6.其他职责
承担中国互联网协会政策与资源工作委员会秘书处的工作


7.最主要职责
发布中文上网的垃圾广告软件。该程序占用了系统资源,发布大量无关信息。并且还和广大恶意病毒、木马一样采用多重防护技术。防止被杀毒软件清楚。
【常见模式及卸载方法】


几款杀毒软件的反馈:
SRENG几乎没起作用。
AVG可以搜到,但无法完全卸载注册表和主策略里的篡改。
DR.WEB查到了,也试图删了,但效果和AVG一样。只删去了主体。
瑞星可以进一步查到,但仍然无法解决无法进入安全模式的问题。

卸载的方法:(除了重装以外的办法)——底下的办法是别人发的,不完善,敬请补充
首先进入安全模式。把C:\Program Files目录下的CNNIC目录删除,然后打开注册表编辑器。再运行-〉regedit,
在安全模式下就可以删除这两个键值了。
在安全模式下把Run目录下的CdnCtr和ExFilter这两个键值删除。然后对注册表进行查找。查找一切和CNNIC、cdnup.exe
字符有关的键值和目录。统统删除。OK。现在再重新启动机器。烦人的CNNIC终于离我而去了。不过CNNIC这样被删除之后。
好像会导致不能在IE窗口中输入中文。不知道有没有其它人碰到这种情况。还有一个方法可以避免下次再次运行这个烦人的插件。
新建一个文本文件,内容如下:
REGEDIT4
#9A578C98-3C2F-4630-890B-FC04196EF420 /CNNIC
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\]
"Compatibility Flags"=dword:00000400
保存为.reg的文件,然后双击执行此文件即可。

看看CNNIC中文官方上网都干了些什么:

先来看看它的安装和卸载,等会专门分析它的安装过程,先说一下卸载。卸载中文官方上网需要填一个随即生成的确认码,这是为了防止竞争同行或类似360 安全助手之类的软件自动删除自己,然后执行正常的卸载程序。但是问题是卸载干净了吗?答案是没有,有一个残留的驱动程序仍然驻留在你的系统中,目的是干扰同行或类似360安全助手之类的软件正常运行,这个逻辑很简单,不用我?!别的同行软件你也别想用的好。证据:主驱动程序cdnprot.sys不能删除,有些安全程序能够删除cdnprot.sys,但是CNNIC可没有那么简单,他还有一个影子驱动程序,名字是随机生成的,可能是类似 sdgwuwks.sys之类的名字,这些就残留在你的系统中了,请神容易送神难。CNNIC在安装的时候会释放一个驱动程序,这是一个临时的,安装完成后就会删除,这个驱动程序的目的是检测别的软件是否有破坏自己安装的行为,保证安装程序能够正常进行,同时,安装程序还有反调试的手段,当检测到自己处于被调试的状态时就主动退出,以保护关键代码的安全,做成这样大概也是同行竞争的结果吧,只是苦了用户。

一个浏览器辅助软件至于要用到系统底层驱动那种级别吗?如果仅仅是作个浏览器增强功能当然用不到,但是如果做别的流氓行为就需要啦。现在看看 cdnprot.sys驱动程序都干了些什么,首先它Hook了几个系统关键函数,关于这一点我要特别说明一点,很多病毒都是采用这种技术,这些被称作 rootkit。它和一般的API hook不太一样,它通过修改ntoskrnl.exe的System Services Des criptor Table,直接hook ntdll.dll中的内核函数,这样相关的用户态API最终都会调到这些底层API,通过hook相关的API可以分析用户的行为,同时干扰同行软件的运行。比如文中提到的中文上网,它就hook了ZwTerminateProcess,这样使别的程序(甚至是通过windows的进程管理器)都无法删除CNNIC的 cdnup.exe进程。因为所有的中止进程都调用的是TerminateProcess API,这最终调用的是ZwTerminateProcess,CNNIC的Hooker函数判断参数,发现是中止自己的程序时就直接返回错误,这样就永远无法中止cdnup.exe。中文上网还Hook了ZwDeleteValueKey,目的是相同的,所有注册表删除操作都要经过Hooker的过滤,发现是删除自己的东西的时候就直接返回错误。使用rootkit Hooker函数对系统安全构成了威胁,不仅影响系统的稳定性,严重的还会通过Hooker收集用户的信息,造成信息安全泄漏。对CNNIC的 hooker还要进一步分析才能判定它到底有什么危害,不过有一点可以证明的是,CNNIC的中文上网Hooker了 ZwSetSecurityObject,并严重干扰了这个函数的正常功能,这是一个给用户帐号赋予权限的函数,CNNIC的中文上网为了防止用户使用 SDTrestore工具恢复系统的SSDT(System Services Des criptor Table),所以hooker了这个函数,使得SDTrestore工具无法获得权限正常运行,但是这种行为已经影响到了依赖与这个函数的软件的运行, SDTrestore就是受害者之一。顺便说一下,cdnup.exe一开始是正常的,可以中止,而且对用户没有任何功能(只是为了检查升级,这很无聊,我需要检查升级的时候我会运行你的,用不找你这么热心一直运行吧?),只是为了监控它的驱动程序是否受到了别的软件的进攻,如果发现有别的软件“恶意”删除自己,他就会处于一种癫狂状态,此时无法中止也不能从注册表中删除相关的启动项。

中文上网的驱动程序不是只安装一个,而是一次装三个,目的是为了互相监视,互相保护,想的倒上周到,只是用户倒霉了,占用系统资源还不说,什么时候来个蓝屏也不知道是怎么回事。

CNNIC的中文上网还会在Winsock2的SPI接口上做手脚,先来介绍一下SPI。Winsock2提供了LSP(Layer Service Provider: 层服务提供者)接口标准SPI,允许应用软件开发商对Winsock进行扩展,对传输层的TCP/UDP等网络协议进行专门的数据流控制(如加密/解密、监控)和错误控制等。各层LSP实现不同开发商对Winsock DLL的扩展,以支持不同目的的网络数据流控制操作。而基本服务提供者实现最基本的TCP 协议堆栈的功能。明白了吧,这其实就是一个过滤器,给使用者提供了发现和使用任意数量的底层传输协议所提供的通信能力,中文上网用它来做一些URL重定向,其它还做了什么就不得而知了。很多广告弹出者就是利用了这一点,如果你上网时经常弹出一些广告窗口,又在注册表中找不到线索,那不妨研究一下你的机器上是否被装了SPI。

安装程序还会暗自生成一个BHO,这个是捆绑“销售”,不要也得要,这个BHO是随机命名的,被安置在windows目录下的\Downloaded Program Files中,这一招够歹毒,因为在资源管理器中查看这个目录下是看不到文件的,很容易被忽略,不过在dos窗口中它就原形毕露。一个浏览器助手需要被装到这个地方,足以说明这不是什么好鸟。顺便说一下,这个BHO做的也是很歹毒的,用了壳,还对内部代码加密了,每次生成这个文件的时候都会修改文件的大小,同时还修改相应的注册GUID和CLSID,这使得一些靠判断注册表中GUID和CLSID来免疫和删除插件的一些小工具变得无效。删除方式很简单,将这个目录中的dll全部删除就行了。

   

自定义分类:
互联网网络中文域名注册
 
贡献者:
sc88883G不好说
Copyright © 1999-2024 C114 All Rights Reserved | 联系我们 | 沪ICP备12002291号-4