3721技術分析

⑴ 關於網路營銷的問題

你哪個網路營銷有沒叫你發展下線，如果有，那就是傳銷了！現在很多騙子打著網路營銷的旗號做傳銷！切記切接！如果對網路營銷有興趣，可以去網路創業幫了解學習！

⑵ 如何刪除3721

近日接到內網用戶來報，在上到某些站點的時候，會被提示安裝一個叫3721中文實名的插件，部分用戶在不知情的情況下誤點「安裝」選項，導致該病毒駐留於硬碟上難以殺除。天緣雖是網路管理員，但是對Windows操作系統的確使用得不多，從來也沒有用過這個名為3721的插件，但看到用戶們焦急地神情，於是答應盡力而為。經過幾番努力，終於將其斬於馬下。
以下是殺除該病毒得經歷及病毒解決方案。

天緣使用一台windowsxp機器，訪問用戶提供的站點，下載並執行了該插件。該插件為中文，自動安裝後重新啟動機器後生效，並自帶卸載功能。通過安裝/卸載前後的對比觀察，其駐留性、自身保護性及對系統性能的大量損耗，讓天緣確定了該插件確是病毒無疑！

病毒發作現象：
自動將瀏覽器的「搜索」功能重定向到一個叫www.3721.com的網站，該站點為中文站，且無法修改；
強行在用戶ie上添加「情景聊天」、「上網加速」等幾個圖標；
不斷刷新注冊表相關鍵值，以達到成功駐留和大量消耗用戶主機資源的目的；
每次啟機載入，並自帶進程保護功能，在正常地windows啟動下難以殺除；
5. 帶自動升級功能，每次用戶上網使用ie時，該病毒會後台執行升級；

病毒自身特點：
自帶卸載功能；該病毒為達到隱藏自身目的，麻痹下載插件用戶的目的，提供了卸載程序。但根據天緣的使用情況發現，在卸載後，該病毒程序依然駐留，啟動時仍然載入，依然監視、改寫注冊表；
採用網路升級方式；該病毒為了防止用戶以及殺毒軟體的殺除，採取定期網上升級的方式，這點與近期的其他Windows主流病毒類似，但值得一提的是該病毒建有公開的病毒升級站點www.3721.com，且站點風格酷似門戶、服務類站點，具有極大的欺騙性；
以驅動模式載入；該特性可說是近段時期以來病毒編寫的一次技術飛躍，採用驅動模式載入配合掛接hook的方式，在windows下極難查殺（詳細技術討論見後）；
提供在瀏覽器地址欄中輸入中文後轉到其站點進行關鍵字查詢的搜索服務。前段時間的沖擊波剋星病毒也曾在感染用戶機器後自動連接用戶的機器到update.Microsoft.com下載補丁，看來新的病毒越來越多地喜歡提供一些另類功能了；
被動方式傳播：利用一些站點來進行傳播，而不是主動感染其他機器，這點與當前熱門的「美女圖片」病毒的方式相近。從主動轉向被動，可說是今年一些病毒的新特點；

病毒詳細分析：
當用戶訪問站點的時候，彈出一個控制項下載窗口提示用戶下載安裝，表面上稱自己是提供中文實名服務，引誘用戶安裝；
在安裝過程中多處修改用戶文件及注冊表；
添加文件：

在Documents and Settings\All Users\「開始」菜單\程序\網路實名\ 目錄下添加
了解網路實名詳細信息.url 86 位元組
清理上網記錄.url 100 位元組
上網助手.url 99 位元組
卸載網路實名.lnk 1,373 位元組
修復瀏覽器.url 103 位元組

在WINDOWS\Downloaded Program Files\ 下添加
assis.ico 5,734 位元組
cns02.dat 1,652 位元組
CnsHook.dll 56,320 位元組
CnsMin.cab 116,520 位元組
CnsMin.dll 179,712 位元組
CnsMin.inf 378 位元組
sms.ico" 6,526 位元組
yahoomsg.ico 5,734 位元組

在WINDOWS\System32\Drivers\ 目錄下添加
CnsminKP.sys

添加註冊表鍵值：

增加HKEY_LOCAL_MACHINE\SOFTWARE\3721 主鍵，下設多子鍵及屬性值；
在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 主鍵下增加
{B83FC273-3522-4CC6-92EC-75CC86678DA4}
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
兩個子鍵
3．在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\主鍵下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1
四個子鍵
4. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\主鍵下增加
{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}子鍵
5. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\主鍵下增加
{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}
{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\主鍵下增加
!CNS子鍵
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\ 主鍵下增加
{00000000-0000-0001-0001-596BAEDD1289}
{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}
{5D73EE86-05F1-49ed-B850-E423120EC338}
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}
{FD00D911-7529-4084-9946-A29F1BDF4FE5} 五個子鍵
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\主鍵下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四個子鍵
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\主鍵下增加
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}子鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下增加
CnsMin子鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下增加
EK_Entry 子鍵 （提示，這個鍵將在下次啟動機器的時候生效，產生最令人頭疼的部分，後文會敘述）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\下增加
CnsMin 子鍵
HKEY_CURRENT_USER\Software\下增加
3721子鍵
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
在重新啟動計算機後，上面提到的RunOnce下的EK_Entry生效，在注冊表中多處生成最為邪惡的CnsMinKP鍵值，同時在系統盤的windows/system32/drivers目錄下生成CnsMinKP.sys文件，噩夢由此開始。
由於win2k/xp在啟動的時候（包括安全模式）默認會自動運行windows/system32/drivers下面的所有驅動程序，於是CnsMinKP.sys被載入，而這個驅動的作用之一，就是保證windows/ Downloaded Program Files目錄下的Cnshook.dll和CnsMin.dll以及其自身不被刪除；Cnshook.dll的作用則是提供中文實名功能，CnsMin.dll作用在於使其駐留在ie進程內的時候。CnsMin為了保證自己的優先順序最高，用了一個定時器函數反復安裝鉤子，因此造成系統性能下降，在天緣測試的那台機器上，使得性能大概下降了20%左右。而且由於hook強行掛接的原因，當用戶使用斷點調試程序的時候將會導致頻繁出錯，這一點與早期版本的cih導致winzip操作和無法關機類似（關於詳細的技術細節，可參看題目為《[轉載]3721駐留機制簡單研究》一文，地址為 http://www.nsfocus.net/index.php?act=sec_doc&do=view&doc_id=894 原作者Quaful@水木清華）
防刪除特性：
該病毒雖然自帶一個所謂的「卸載程序」，但事實上核心部分的程序/注冊表鍵值依然沒有刪除。而且該病毒更是利用各種技術手段，具有極其強大的反刪除特性。
windows系統啟機（包括安全模式下）便會載入windows/system32/drivers下的CnsMinKP.sys，該驅動該驅動程序過濾了對其自身及相關重要文件和注冊表的刪除操作。每當試圖刪除3721的關鍵文件和注冊表項時，直接返回一個TRUE，使Windows認為刪除已經成功，但文件和注冊表實際上還是在那裡。

技術亮點：
天緣不得不承認，3721這個病毒插件可稱我作為網管以來面對的最難清除的病毒。近幾年來病毒有幾次質的突破：cih感染可升級的bios、紅色代碼打開windows的共享擴大戰果、meliza讓我們見識了什麼是看得到源程序的病毒、mssqlserver蠕蟲讓我們留意到計算機病毒能攻擊的不光是節點還有網路設備、沖擊波病毒讓我們認識到大量使用同一種操作系統時在出現安全漏洞時的可怕、美女圖片病毒讓我們知道了將欺騙藝術與軟體漏洞結合的威力、而這次3721病毒首次展現了病毒強大的反刪除特性，可說是在windows環境下無法殺除的病毒。雖然這是個良性病毒，對系統並沒有破壞特性，但依據病毒的發展史，可以預見，這種幾近完美的反刪除技術將很快被其他病毒所利用，很快將被其他病毒所利用。屆時結合網路傳播，局網感染帶強大反刪除功能的病毒或許會讓目前windows平台下的殺毒軟體遭遇到最大的考驗。而這次經歷，也讓我意識到微軟的windows操作系統在人性化、美觀化、傻瓜化的背後的危機。作為it同行，我個人對3721病毒作者所使用的種種技術表示欽佩，但新型病毒的潘多拉魔盒，已經被他們打開：

在目前已知的病毒歷史上，之前只有幾種病毒利用過windows nt下的system32/drivers 下的程序會被自動載入的特性來進行傳播，但那些病毒本身編寫地不夠完善，會導致windows nt系統頻繁藍屏死機，象3721插件病毒這樣完美地載入、駐留其他進程，只消耗主機資源，監測注冊表及關鍵文件不導致系統出錯的病毒，國內外尚屬首次，在技術上比以前那些病毒更為成熟；

如同天緣和大家曾經探討過的沒打sp2以上patch的win2k如何上網下載sp4再安裝補丁這樣的連環套問題一樣。由於drivers目錄下的CnsMinKP.sys啟機必定載入，而欲不載入它，只有在windows啟動後，進注冊表改寫相應的CnsMinKP鍵值或者刪除該文件，但由於CnsMinKP.sys過濾了對其自身及相關重要文件和注冊表的刪除操作。每當試圖刪除3721的關鍵文件和注冊表項時，直接返回一個TRUE，使Windows認為刪除已經成功，但文件和注冊表實際上還是在那裡。使得注冊表無法修改/文件無法被刪除，讓我們傳統的殺除病毒和木馬的對策無法進行。
駐留ie進程，並自動升級，保證了該病毒有極強大的生命力，想來新的殺除方法一出現，該病毒就會立即升級。Windows上雖然還有mozilla等其他瀏覽器，但由於微軟的捆綁策略和兼容性上的考慮，絕大多數用戶一般只安裝有ie。上網查資料用ie，尋找殺除3721資料的時候也用ie，如此一來，3721搶在用戶前面將自身升級到最新版本以防止被殺除的可能性大大增加，更加增添了殺除該病毒的難度。或許在本文發出後，病毒將會在最短時間內進行一次升級。
附帶其他「實用」功能。天緣記得早年在dos下的時候曾遇到一些病毒，在發作的時候會自動運行一個可愛的屏幕保護，或者是自動替用戶清理臨時文件夾等有趣的功能；後來在windows平台上也曾見過在病毒發作時自動提醒「今天是xx節，xx年前的今天發生了xx歷史典故」這樣的帶知識教育意義的病毒；而3721病毒則是提供了一個所謂的中文域名與英文域名的翻譯功能。隨著病毒的發展，這樣帶隱蔽性、趣味性和欺騙性的病毒將越來越多。例如最近的郵件病毒以微軟的名義發信，或以re開始的回信格式發信，病毒編寫的發展從原來的感染傳播、漏洞傳播、後門傳播逐步向欺騙傳播過渡，越來越多的病毒編寫者意識到社會工程學的重要性。或許在不久的將來，就會出現以簡單的網路游戲/p2p軟體為掩飾的病毒/木馬。
極具欺騙性：該插件在win98下也能使用，但使用其自帶的卸載程序則可比較完美地卸載，而在win2k/xp平台下卸載程序則幾乎沒用。由此可以看出病毒編寫者對社會工程學極其精通：當一個人有一隻表時他知道時間；而當他有兩只表時則無從判斷時間。當在論壇/bbs上win2k/xp的用戶提到此病毒無法刪除的時候，其他win2k/xp用戶會表示贊同，而win98用戶則會表示其不存在任何問題屬於正常程序的反對意見。兩方意見的對立，影響了旁觀者的判斷。

商業行為的參與。據傳該病毒是由某公司編寫的，為的是進一步推銷其產品，增加其訪問量和申請用戶。這點上與某些色情站點要求用戶下載xx插件，之後不斷利用該插件彈出窗口進行宣傳的方式很象。天緣不由得想起一個典故。話說當年某公司公司工作人員（當然也有可能是不法者冒充該公司的工作人員）經常打電話恐嚇大型的企業單位，無外乎說其中文域名已被xx公司搶注，如不交錢將會導致xx後果雲雲。兄弟學校中似乎也有受到此公司騷擾的經歷：該公司員工打電話到某高校網路中心，起初是建議其申請中文域名，其主任很感興趣但因價格原因未果。第二次打來的時候，就由勸說變成了恐嚇，說該校中文名字已經被xx私人學校注冊，如果該校不交錢申請就會有種種可怕後果雲雲。誰想該校網路中心主任吃軟不吃硬，回話：「你既然打電話到此，想來你也知道在中國，xx大學就我們一所是國家承認的，而你們公司在沒有任何官方證明的情況下就替申請我校中文域名的私人學校開通，就這點上就可見你們的不規范性，那麼如果我私人交錢申請xxx國家領導的名字做個人站點是不是貴公司也受理？遇到類似冒用我校名義行騙及協助其行騙的公司，我們一貫的做法是尋找法律途徑解決！」回答甚妙，當然此事後果是不了了之。從相關報道中不難看到，計算機犯罪逐步開始面向經濟領域。侵犯私人隱私，破壞私人電腦的病毒與商業結合，是病毒編寫由個人行為到商業行為的一次轉變，病毒發展的歷史由此翻開了新的一章。

病毒查殺方案：

由於網管專題的欄目作用主要是「授人與漁」，天緣把病毒查殺過程經歷一並寫下，大家共同探討。

第一回合：
當初見此病毒的時候，感覺不過如此，普通木馬而已。依照老規矩，先把注冊表裡相關鍵值刪除，再把病毒文件一刪，然後重新啟動機器，等待萬事ok。啟機一看，注冊表完全沒改過來，該刪除的文件也都在。
結局：病毒勝，天緣敗

第二回合：
換了一台機器，下了個卸載幫助工具，以方便監視注冊表/文件的改變。我下的是Ashampoo UnInstaller Suite這個軟體，能監視注冊表/文件/重要配置文件。Ok，再次安裝3721插件，把對注冊表的改變/文件的改變都記錄下來。（值得注意，因為注冊表run和runonce的鍵是下次啟動的時候生效的，因此在重新啟動後，還要對比一下文件/注冊表的改變才能得到確切結果）。然後對比記錄，把3721添加的鍵全部記下來，添加的文件也記錄下來。之後我計劃是用安全模式啟動，刪除文件和注冊表，所以寫了一個save.reg文件來刪除注冊表裡的相關鍵值（寫reg文件在網管筆記之小兵逞英雄那講有介紹，等一下在文末我提供那個reg文件給大家參考），寫了一個save.bat來刪除相關文件，放到c盤根目錄下。重新啟動機器，進入安全模式下，我先用regedit /s save.reg 導入注冊表，然後用save.bat刪除相關文件。重新啟動機器，卻發現文件依然存在，注冊表也沒有修改成功。通常對付木馬/病毒的方式全然無效，令我產生如臨大敵之感。
結局：病毒勝，天緣敗

第三回合：
重新啟動機器，這次我採用手工的方式刪除文件。發現了問題——對system32/drivers目錄下的CnsMinKP.sys，WINDOWS\Downloaded Program Files 目錄下的Cnshook.dll和CnsMin.dll都「無法刪除」。這樣說可能有點不妥當，准確地說法是——刪除之後沒有任何錯誤報告，但文件依然存在。於是上網用google找找線索——在綠盟科技找到了一則文章（名字及url見前文），於是明白了這一切都是CnsMinKP.sys這東西搞得鬼。那麼，只要能開機不載入它不就行了？？但試了一下2k和xp的安全方式下都是要載入system32/drivers下的驅動，而如果想要取消載入，則需要修改注冊表，但由於在載入了CnsMinKP.sys後修改注冊表相關值無效，導致無法遏制CnsMinKP.sys這個程序的載入。當然，有軟碟機的朋友可以利用軟盤啟動的方式來刪除該文件，但如果跟天緣一樣用的是軟碟機壞掉的機器怎麼辦呢？記得綠盟上的文章所說的是——「目前無法破解」。在這一步上，天緣也嘗試了各種方法。
我嘗試著改這幾個文件的文件名，結果沒成功；
我嘗試著用重定向來取代該文件，如dir * > CnsMinKP.sys ，結果不成功；
我嘗試著用 con <文件名> 的方式來覆蓋這幾個文件，結果發現三個文件中Cnshook.dll可以用這樣的方法覆蓋成功，但是在覆蓋CnsMinKP.sys和CnsMin.dll的時候，居然提示「文件未找到」！？熟悉 con用法的朋友都該了解，無論是文件是否存在，都應該是可以創建/提示覆蓋的，但居然出來這么一個提示，看來CnsMinKP.sys著實把系統都騙過了，強！！跟它拼到這里的時候，回想到了在dos下用debug直接寫磁碟的時代了，或許用它才能搞定吧？
仔細一想，win2k/xp下似乎沒有了debug程序了，而或許問題解決起來也不是那麼復雜。再又嘗試了幾種方法後，終於得到了啟示：既然文件不允許操作，那麼我操作目錄如何？
我先把windows\system32\drivers目錄復制一份，取名為drivers1,並將其中的CnsMinKP.sys刪除（注意，因為是drivers1中的，所以可以被成功地真正刪除掉）；
重新啟動機器，到安全模式下；
用drivers1目錄替代原來的drviers目錄
cd windows\system
ren drivers drivers2
ren drivers1 drivers
之後重新啟動機器，然後進到windows後先把drivers2目錄刪除了，然後慢慢收拾殘余文件和清理注冊表吧。在這里天緣提供一個reg文件，方便各位刪除注冊表：
Windows Registry Editor Version 5.00（用98的把這行改成regeidt4）

[-HKEY_LOCAL_MACHINE\SOFTWARE\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}]

[-HKEY_CURRENT_USER\Software\3721]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OCustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OSearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\EK_Entry]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSAutoUpdate]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSEnable]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSHint]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSList]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSMenu]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSReset]
結局：病毒敗，天緣勝
（雖然是成功地刪除了它，但是感覺贏得好險，如果該病毒加一個禁止上級文件改名的功能那麼就真的沒折了，為了預防類似的情形，最後還是找到了徹底一點的辦法，見下）

第四回合：
聰明的讀者大概已經想到，既然沒有辦法在硬碟啟動對於c盤是fat32格式的機器，想到這里已經找到了解決辦法——用win98啟機軟盤啟動機器，然後到c盤下刪除相關文件，然後啟動到安全模式下用save.reg把注冊表搞定就行了。問題是——大多數win2k/xp都使用的是新的ntfs格式，win98啟機軟盤是不支持的！怎麼辦？有軟碟機的機器可以做支持NTFS分區操作的軟盤，用ntfsdos這個軟體就能做到（詳情請見http://www.yesky.com/20020711/1620049.shtml一文）。而跟天緣一樣沒有軟碟機的朋友，別忘記了win2k/xp開始加入的boot，不光是能夠選擇操作系統而已，而是跟linux下的lilo和grub一樣，是一個操作系統引導管理器——換句話說，如果我們能在硬碟上做一個能讀寫NTFS的操作系統，再用boot進行引導，那麼不是就可以在無軟碟機的情形下實現操作c盤的目的了么？在網路上找到vFloppy.exe 這個軟體，它自帶一個支持讀寫ntfs的鏡象文件，並且使用簡單，非常傻瓜化（詳情見http://www.yesky.com/SoftChannel/72350068425883648/20040226/1771849.shtml 一文，順便一提新版本的yFloppy已經自帶支持ntfs讀寫的img文件了）。然後刪除3721的相關文件，重新啟動後清理注冊表和刪除相關文件就行了。

到此，我們終於把3721這個陰魂不散地幽靈徹底趕出了我們的硬碟！！

由於不少網站基於各種原因，在顯示頁面的時候都會彈出3721的下載窗口，很容易誤點。在ie中就能屏蔽掉該站以及其他惡意的任何下載。具體方法可見（http://www.yesky.com/20030416/1663721.shtml 一文）。

截止發稿為止，天緣所知不少同行網管已經在網關上做了對該地址的屏蔽，防止不知情的用戶無辜受害。網路安全任重道遠，還要靠大家的努力才能把一些害群之馬斬草除根。

⑶ 360從什麼時候開始做安全產品的它當初憑什麼成了中國第一的殺毒公司

2010-11-06 20:46:29 來自: Virginia (北京) 一、 360的追本溯源 在互聯網高速發展的10年裡，全世界都沒有任何一個正規公司的軟體能像3721一樣，以魔鬼的本質、戴著偽善的面具、打著服務大眾的旗號來騙取客戶資源。那個時候互聯網剛剛興起，很多人對上網還很陌生，周鴻禕帶著他的3721殺入了網頁導航的市場，我們可以想像，3721更深層次的含義是：不管三七二十一，佔領市場才是王道。 一些人對3721很陌生，這里我有必要先介紹一下什麼是3721。3721是一個插件，所謂的插件是採用ActiveX技術，通過微軟 IE的COM介面，將IE的功能進行擴展的一個小程序，該程序不能獨立運行並存在。通俗的解釋，3721就好比一個寄生蟲，它駐扎在IE瀏覽器上，在人們上網的時候「幫助」人們找到一些網址。在當時，人們對程序、互聯網認識程度還不夠，尤其是對一個自身不能獨立運行，必須要駐扎在瀏覽器上運行的插件更不清楚，因此根本不會主動去下載類似的插件程序。為了能夠快速佔領市場，周鴻禕在3721上採用了病毒的技術，通過操作系統漏洞、IE漏洞等將3721插件強行傳播到用戶電腦，很多用戶根本不知道什麼時候自己做過什麼，就發現自己的IE上莫名其妙的多了一個「3721」。在那段時間里，IE工具條大行其道，還有一些和3721的競爭者，也都被3721採用病毒的手段無情的扼殺，目的只有一個：不管三七二十一，在所有的電腦中都要安裝上3721！。我清楚的記得，在我身邊的朋友、我所培訓的用戶、我安裝實施的應用系統終端上，都會出現3721讓人厭惡至極的身影，就像一個惡魔，他無時無刻不在你的身邊，不管你如何的厭惡，你卻無可奈何，因為它採用了病毒的技術，防止被刪除，以至於很多用戶不得不重新安裝電腦系統，才暫時擺脫了3721的糾纏，因為不久，只需要很短的時間，3721又會重新回到你的電腦中。那是一個讓人心情極度壓抑的時代，周鴻禕利用專業軟體人員都懂、但卻不去拿來危害別人的技術挾持廣大的中國網民，那個時候你無從選擇，因為不管三七二十一，3721已經幫你做好了選擇。 隨著當年互聯網泡沫的破滅，國內的幾大門戶網站根基逐漸穩固，越來越多的人們對網路也有了更深入的認識。雅虎看到了中國互聯網的發展前景，為了迅速搶占市場，在當時做了一個飲鴆止渴的錯誤決定，那就是收購3721。在雅虎的眼裡，3721擁有龐大的客戶資源，而在互聯網時代，客戶資源就代表著貨幣資源，雅虎以為3721會給其進入中國帶來巨大幫助，然而，雅虎還是在東西方文化差異和發展水平上載了跟頭。美國在軟體行業一直處於世界的領頭羊地位，例如大名鼎鼎的微軟、蘋果、IBM等，因此美國軟體行業的相關法律也非常健全，在美國絕對不會有挾持用戶強迫用戶安裝軟體的事情被法律所允許，因為雅虎也想當然的以為3721所掌握的用戶都是「一心向周」的，是為3721精湛的技術和周到的服務所折服，心甘情願的追隨周鴻禕，事實上完全相反，3721的用戶完全是被脅迫、在不知情的情況下被安裝，口碑極差，在程序員的圈子裡，反3721的呼聲也越來越高，終於，廣大人民在長期的欺騙與強迫下開始覺醒，人人唾棄3721。在雅虎收購3721以後，周鴻禕就利用雅虎的技術平台，安排自己的人去雅虎總部學習了更尖端的技術，掌握了搜索等方面的關鍵手段，當雅虎在大量的事實真相面前猛然醒悟決定炒掉周鴻禕時，周某人滿足的帶著他賣掉3721得到的錢和在雅虎學習的技術，心滿意足的離開了雅虎。 二、 360的借屍還魂 自離開雅虎以後，周鴻禕創辦了奇虎。再分析周某人的心理：雅虎？看我奇虎出奇制勝，奇虎必定戰勝雅虎。我這么分析是有依據的，因為 3721是周鴻禕埋在雅虎的遙控炸彈，周鴻禕想讓他什麼時候爆炸，那就什麼時候爆炸，這也是他能夠「出奇制勝」的殺手鐧。不可否認，周鴻禕很聰明，在 3721遭到全中國人民唾罵之時，周將這個燙手山芋扔給了傻乎乎的雅虎山姆大叔，在雅虎意識到自己用重金收購的3721連雞肋都算不上時，周鴻禕終於放出他的殺手鐧——「360」！用「360」來殺掉「3721」，揭竿扯起討伐3721的「正義」之旗，在廣大人民群眾的期盼與熱淚盈眶中，360將3721 殺的片甲不留。就像上帝能夠創造人類也能毀滅人類一樣，3721在360的「查殺」下，現在已經銷聲匿跡了。然而，360卻以3721的屍體借屍還魂了。 360成功的剿滅3721，首戰大捷，被不知情的廣大群眾奉若神明，集體頂禮膜拜。於是周某人打著終身免費的誘餌，帶著他的360又開始公開出現在公眾面前，在媒體上頻頻露面作秀，大言不慚的誇耀自己的技術，把自己定位為電腦安全的救世主。互聯網時代的發展，將原來單機時代程序員門用來炫耀技術的病毒完全改頭換面。單機時代會有很多病毒沒有從任何利益角度出發，僅僅是想炫耀作者的編程水平，例如破壞用戶的文件但不會窺探，甚至破壞主板硬體BIOS。互聯網時代技術的飛速發展也催生了木馬產業，木馬與病毒實際上還是有本質的區別，其由來是因特洛伊木馬而命名。木馬實際上是靠著某些偽裝而讓用戶在毫不知情的情況下運行，竊取用戶網銀密碼、游戲賬號、虛擬貨幣等重要信息從而獲利，因此木馬的危害也被越來越多的人所重視。正是在3721讓人們苦不堪言、木馬橫行肆虐的時代，周鴻禕在廣大不知情的人民的簇擁下以正義之師的名義，推出了他的360。不可否認，360上市以後的確對一些木馬的防範起到一些作用，然而在市場的激烈競爭下，周鴻禕唯我獨尊的獨裁心態又沖破了小宇宙，他看不得別人和他競爭，看不得用戶的電腦運行他不喜歡的程序，因此又故技重施，用3721的魂魄來迫害這些同行業的競爭者，禁止金山、可牛、網路等大公司的程序運行在電腦上，用齷齪卑劣的手段誤導用戶，從而使自己能夠獨霸一方。試想，360本身是殺毒的，他的面具就是正義，有多少普通用戶可以分辨出360到底是對還是錯呢？更何況周鴻禕其人本身就善於表演，因此很多人相信了 360，相信了他的「正義」、相信了他的「無辜」、相信了他的「專業」。

⑷ 3721驅動病毒怎麼徹底清除

3721是個木馬，很垃圾
你用它的卸載是永遠刪不幹凈的；刪注冊表時也有幾個項目是不讓回刪的，很麻煩答。去下載個超級兔子（華軍軟體園的，放心），免費，不注冊也讓用
http://www.onlinedown.net/soft/2636.htm
注冊名：PHOENIX
注冊碼：MSCNC-COPGN-SWBKW-WAQBU-EDGOS
它提供了對3721的專業卸載，在「優化王」里的「專業卸載」里，「下一步」就解決了，干凈

⑸ 360安全衛士真垃圾

建議樓主可以試用下金山網盾，除了可以保護瀏覽器，修復瀏覽器系統的故障。還可以免費詩意哦能夠一年金山毒霸2011。

⑹ 以前3721和百度

3721就是一款IE插件，讓用戶不用輸入網址，直接輸入中文就能轉到網版頁。由於以前監權管不嚴，大家都搜索些亂七八糟的東西，後來被周鴻偉賣給雅虎，成了雅虎助手。

網路從一開始就是做搜索的，你說的競爭貌似沒聽說過

⑺ 中國農業網站排行榜(http://top.ny3721.com/)

下載V5.6 正式版抄
軟體大小：2.51 MB
軟體語言：簡體中文
軟體類別：國產軟體 / 免費版 / 瀏覽安全
運行環境：Win9x,NT,2000,XP
添加時間：2005-9-18 10:57:01
更新時間：2005-9-18 10:57:01
軟體添加：admin
軟體評級：
會員級別：匿名用戶
聯 系 人：[email protected]
開 發 商：http://iescan.shanghaitou..

軟體簡介：
1、清除自動彈出或轉入搜索頁的惡意網站。
2、點擊殺毒，一鍵修復；將直接修復IE清除劫持病毒。
3、查殺QQ及MSN常見病毒。
4、徹底屏蔽惡意網站、廣告、浮動窗口及第三方插件。
5、全面改進了軟體兼容性。
開發平台：Win98 2222A
測試平台：Win98/WinMe/Wins2000/WinXP

一下這個軟體，很方便的就可以拉

⑻ 什麼是流氓軟體，3721也是，流氓軟體對電腦有什麼傷害！請詳細點！

「流氓軟體」簡介
來源：瑞星 2005-06-16

近日，一些「流氓軟體」引起了用戶和媒體的強烈關注。它們往往採用特殊手段頻繁彈出廣告窗口、危及用戶隱私，嚴重干擾用戶的日常工作、數據安全和個人隱私。這些軟體在軟體用戶中引起了公憤，許多用戶指責它們為「徹頭徹尾的流氓軟體」。

什麼是流氓軟體？

「流氓軟體」是介於病毒和正規軟體之間的軟體。

計算機病毒指的是：自身具有、或使其它程序具有破壞系統功能、危害用戶數據或其它惡意行為的一類程序。這類程序往往影響計算機使用，並能夠自我復制。

正規軟體指的是：為方便用戶使用計算機工作、娛樂而開發，面向社會公開發布的軟體。

「流氓軟體」介於兩者之間，同時具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開後門），給用戶帶來實質危害。

流氓軟體的分類

根據不同的特徵和危害，困擾廣大計算機用戶的流氓軟體主要有如下幾類：

1、廣告軟體（Adware）

定義：廣告軟體是指未經用戶允許，下載並安裝在用戶電腦上；或與其他軟體捆綁，通過彈出式廣告等形式牟取商業利益的程序。

危害：此類軟體往往會強制安裝並無法卸載；在後台收集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗系統資源，使其運行變慢等。

例如：用戶安裝了某下載軟體後，會一直彈出帶有廣告內容的窗口，干擾正常使用。還有一些軟體安裝後，會在IE瀏覽器的工具欄位置添加與其功能不相乾的廣告圖標，普通用戶很難清除。

2、間諜軟體(Spyware)

定義：間諜軟體是一種能夠在用戶不知情的情況下，在其電腦上安裝後門、收集用戶信息的軟體。

危害：用戶的隱私數據和重要信息會被「後門程序」捕獲，並被發送給黑客、商業公司等。這些「後門程序」甚至能使用戶的電腦被遠程操縱，組成龐大的「僵屍網路」，這是目前網路安全的重要隱患之一。

例如：某些軟體會獲取用戶的軟硬體配置，並發送出去用於商業目的。

3、瀏覽器劫持

定義：瀏覽器劫持是一種惡意程序，通過瀏覽器插件、BHO（瀏覽器輔助對象）、Winsock LSP等形式對用戶的瀏覽器進行篡改，使用戶的瀏覽器配置不正常，被強行引導到商業網站。

危害：用戶在瀏覽網站時會被強行安裝此類插件，普通用戶根本無法將其卸載，被劫持後，用戶只要上網就會被強行引導到其指定的網站，嚴重影響正常上網瀏覽。

例如：一些不良站點會頻繁彈出安裝窗口，迫使用戶安裝某瀏覽器插件，甚至根本不徵求用戶意見，利用系統漏洞在後台強制安裝到用戶電腦中。這種插件還採用了不規范的軟體編寫技術（此技術通常被病毒使用）來逃避用戶卸載，往往會造成瀏覽器錯誤、系統異常重啟等。

4、行為記錄軟體（Track Ware）

定義：行為記錄軟體是指未經用戶許可，竊取並分析用戶隱私數據，記錄用戶電腦使用習慣、網路瀏覽習慣等個人行為的軟體。

危害：危及用戶隱私，可能被黑客利用來進行網路詐騙。

例如：一些軟體會在後台記錄用戶訪問過的網站並加以分析，有的甚至會發送給專門的商業公司或機構，此類機構會據此窺測用戶的愛好，並進行相應的廣告推廣或商業活動。

5、惡意共享軟體(malicious shareware)

定義：惡意共享軟體是指某些共享軟體為了獲取利益，採用誘騙手段、試用陷阱等方式強迫用戶注冊，或在軟體體內捆綁各類惡意插件，未經允許即將其安裝到用戶機器里。

危害：使用「試用陷阱」強迫用戶進行注冊，否則可能會丟失個人資料等數據。軟體集成的插件可能會造成用戶瀏覽器被劫持、隱私被竊取等。

例如：用戶安裝某款媒體播放軟體後，會被強迫安裝與播放功能毫不相乾的軟體（搜索插件、下載軟體）而不給出明確提示；並且用戶卸載播放器軟體時不會自動卸載這些附加安裝的軟體。

又比如某加密軟體，試用期過後所有被加密的資料都會丟失，只有交費購買該軟體才能找回丟失的數據。

6、其它

隨著網路的發展，「流氓軟體」的分類也越來越細，一些新種類的流氓軟體在不斷出現，分類標准必然會隨之調整。

⑼ 3721和奇虎網的創始人為啥都是一個人

人家有資本去開肯定就能開的了
能做成功也說明他個人的能力肯定好
開創了一個高度後 又會去創造另一個高度

⑽ DLL木馬的DLL木馬技術分析

到了這里，您也許會想，既然DLL木馬有那麼多好處，以後寫木馬都採用DLL方式不就好了嗎？話雖然是這么說沒錯，但是DLL木馬並不是一些人想像的那麼容易寫的。要寫一個能用的DLL木馬，你需要了解更多知識。 千萬別把木馬模塊寫得真的像個API庫一樣，這不是開發WINAPI。DLL木馬可以導出幾個輔助函數，但是必須有一個過程負責主要執行代碼，否則這個DLL只能是一堆零碎API函數，別提工作了。
如果涉及一些通用代碼，可以在DLL里寫一些內部函數，供自己的代碼使用，而不是把所有代碼都開放成介面，這樣它自己本身都難調用了，更不可能發揮作用。
DLL木馬的標准執行入口為DllMain，所以必須在DllMain里寫好DLL木馬運行的代碼，或者指向DLL木馬的執行模塊。 Windows中，每個進程都有自己的私有內存空間，別的進程是不允許對這個私人領地進行操作的，但是，實際上我們仍然可以利用種種方法進入並操作進程的私有內存，這就是動態嵌入，它是將自己的代碼嵌入正在運行的進程中的技術。動態嵌入有很多種，最常見的是鉤子、API以及遠程線程技術，現在的大多數DLL木馬都採用遠程線程技術把自己掛在一個正常系統進程中。其實動態嵌入並不少見，羅技的MouseWare驅動就掛著每一個系統進程。
遠程線程技術就是通過在另一個進程中創建遠程線程（RemoteThread）的方法進入那個進程的內存地址空間。在DLL木馬的范疇里，這個技術也叫做「注入」，當載體在那個被注入的進程里創建了遠程線程並命令它載入DLL時，木馬就掛上去執行了，沒有新進程產生，要想讓木馬停止惟有讓掛接這個木馬DLL的進程退出運行。但是，很多時候我們只能束手無策——它和Explorer.exe掛在一起了，你確定要關閉Windows嗎？ 有人也許會迫不及待的說，直接把這個DLL加入系統啟動項目不就可以了。答案是NO，前面說過，DLL不能獨立運行，所以無法在啟動項目里直接啟動它。要想讓木馬跑起來，就需要一個EXE使用動態嵌入技術讓DLL搭上其他正常進程的車，讓被嵌入的進程調用這個DLL的DllMain函數，激發木馬運行，最後啟動木馬的EXE結束運行，木馬啟動完畢。
啟動DLL木馬的EXE是個重要角色，它被稱為Loader，如果沒有Loader，DLL木馬就是破爛一堆，因此，一個算得上成熟的DLL木馬會想辦法保護它的Loader不會那麼容易被毀滅。記得狼狽為奸的故事嗎？DLL木馬就是爬在狼Loader上的狽。
Loader可以是多種多樣的，Windows的rundll32.exe也被一些DLL木馬用來做了Loader，這種木馬一般不帶動態嵌入技術，它直接掛著rundll32進程運行，用rundll32的方法（rundll32.exe [DLL名],[函數] [參數]）像調用API一樣去引用這個DLL的啟動函數激發木馬模塊開始執行，即使你殺了rundll32，木馬本體還是在的，一個最常見的例子就是3721中文實名，雖然它不是木馬。
注冊表的AppInit_DLLs鍵也被一些木馬用來啟動自己，如求職信病毒。利用注冊表啟動，就是讓系統執行DllMain來達到啟動木馬的目的。因為它是kernel調入的，對這個DLL的穩定性有很大要求，稍有錯誤就會導致系統崩潰，所以很少看到這種木馬。
有一些更復雜點的DLL木馬通過svchost.exe啟動，這種DLL木馬必須寫成NT-Service，入口函數是ServiceMain，一般很少見，但是這種木馬的隱蔽性也不錯，而且Loader有保障。 到這里大家也應該對DLL木馬有個了解了，是不是很想寫一個？別急，不知道大家想過沒有，既然DLL木馬這么好，為什麼到現在能找到的DLL木馬寥寥無幾？現在讓我來潑冷水，最重要的原因只有一個：由於DLL木馬掛著系統進程運行，如果它本身寫得不好，例如沒有防止運行錯誤的代碼或者沒有嚴格規范用戶的輸入，DLL就會出錯崩潰。別緊張，一般的EXE也是這樣完蛋的，但是DLL崩潰會導致它掛著的程序跟著遭殃，別忘記它掛接的是系統進程哦，結局就是……慘不忍睹。所以寫一個能公布的DLL木馬，在排錯檢查方面做的工作要比一般的EXE木馬多，寫得多了自己都煩躁……