明白了：DuDU何以绕过“安全浏览”机制 安全浏览, DuDU, 机制

yggcwx

　　前些天被强制安装了DuDU加速器，曾发一帖，参见：http://forum.ioage.com/forum/cn/ ... ghlight=&page=1
　　　反复想了想，终于有所醒悟，各位看是不是：
　　我们知道，某些程序的安装包分完整安装包和离线安装包两种，最新版DuDu虽然最终安装的是一个ActiveX插件，但安装过程和方式却是采用离线安装包的程序安装形式：先偷偷在系统中写入C:\windows\temp\dddupdate.exe文件，系统联网后立即在线安装，速度奇快，神不知鬼不觉的就完成了C:\Program Files\DuDU\DDDclient的安装！它不用一般的插件安装方式，浏览器的“安全浏览”机制自然无效。按常规，这是杀软和防火墙的任务。但在，瑞星、江民甚至upiea却又根本不把dudu当病毒！
　　更麻烦的是：一旦安装，虽然可以在“添加删除程序”中删除其主程序，但无论你怎样删除（即使在安全模式下，即使删除了相应的注册表键值），C:\windows\temp\dddupdate.exe和C:\Program Files\DuDu\DDDClient\dddspocx.dll这两个文件都会在系统重启后“复活”。
　　哪位有办法帮我彻底删了dudu？在下先谢过了。

yggcwx

Originally posted by phoenix at 2005-6-1 14:54:


如果你的系统是windows xp sp2，那么这种事情是不可能发生的

如果你是为了帮助别人，那么你的心意我想大家都领会了，但是如果你不是专业人士，并不确定这样，请尽量不要发这类的帖子，这会误导别人
建议 ...

　　phoenix，你太武断了！以老经验判断新情况，只能越来越以错误为真理。我也只是说“各位看是不是”，从未说我的判断绝对正确。“误导”？凭一句“各位看是不是”，我能误导谁？
　　看看沙鲸在这里的讨论：http://blog.iselong.com/blog/more.asp?name=cetus&id=1266，注意沙鲸的这句话“我可是从来没有下载过任何与DUDU有关系的软件！”偶中着的日子在
http://forum.ioage.com/forum/cn/ ... ghlight=&page=1里已经写明。此前一个月至今就没有安装过任何新软件！经常更新的倒是TW。
　　唯一的可能就是浏览网页时中着。dudu已经成为超级dudu，忽视这一点，才是对大家真正的误导。

　　系统：XP SP1　不知沙鲸是什么系统。SP2就不会中着，它有那么好吗？不大可能吧。
　　如果不能”偷偷的写人一个执行程序并执行“，那么哪来那么多的病毒、木马？？？

[ Last edited by yggcwx on 2005-6-1 at 09:34 PM ]

yggcwx

Originally posted by blog168 at 2005-6-2 07:38:
不过这个东东还挺变态的，还按照偶的作息时间来安排计划任务
偶当时是把EastTV完全删了才让它无法启动的，这跟装没装SP2毫无关系

[ Last edited by blog168 on 2005-6-2 at 07:44 AM ]

　　确实跟SP2毫无关系。另外，俺绝不相信这次是软件捆绑造成的：如上所述，好长时间根本就没装过什么软件啦！－－是网页浏览时中的着！！
　　多谢blog168兄，偶已根据沙老大的指点，把dudu彻底删除啦！办法：
　　1.删计划任务；
　　2.删主程序；
　　3.删残留文件；
　　4.删注册表。
　　希望更多的朋友知道。不过，删计划任务时确实没留意它的路径是否与哪个软件捆绑，呵呵。
　　新浪的那个把系统都文件都捆绑了，更孙子！

[ Last edited by yggcwx on 2005-6-2 at 12:12 PM ]

yggcwx

Originally posted by phoenix at 2005-6-2 13:21:


系统：XP SP1　不知沙鲸是什么系统。SP2就不会中着，它有那么好吗？不大可能吧。

没错，就因为你没有装防火墙，没有打SP2补丁，所以你的系统是非常不安全的，相信中了也不止一个木马了，建议你多去那些安 ...

　　哎，一片好心，没想到，老大把俺视为仇敌……不明白，老大对俺说话为什么总是冷嘲热讽，像“误导别人”、像“这里安全方面的水平比较低，不大适合你
”、像“你没有装防火墙，没有打SP2补丁，所以你的系统是非常不安全的，相信中了也不止一个木马了”云云。有这么多热心朋友参与讨论，难道还没有证明大家对浏览安全的关注吗？？？
　　不过，有些话还是要说的：
　　1.如果这里不能讨论与网页浏览相关的安全问题，那么请把TW的“安全浏览”功能去掉。
　　dudu安装的是IE插件，既和安全有关，更和浏览有关。
　　2.老大真的认为dudu、新浪修改系统文件的行为不可耻吗？对这样的无耻行径痛斥，怎能称之为“谩骂”？？？？？？
　　老大认为它们是合理的话，偶们自然无话可说。
　　不错，痛斥它们并不能解决问题。那么，您和它们讲理，说“请让我选择一下”、“请不要赖在我的系统里”等等就能解决问题吗？
　　3.您说，“
请不要在论坛随便攻击业内公司，包括网站等，谩骂解决不了问题”。那么，请看您自己说的：
　　http://forum.ioage.com/forum/cn/ ... id=1081&fpage=1
　　“phoenix：网通确实混蛋”－－这算不算“攻击业内公司，包括网站等”，算不算“谩骂”？？？
　　可能咱们对对方都有些偏见啊。
　　以上言论，不妥之外，敬请海涵！

　　

[ Last edited by yggcwx on 2005-6-2 at 07:48 PM ]

yggcwx

　　偶有墙

yggcwx

　　除了上面的，还有这个

yggcwx

　　中的东西目前只有dudu……

yggcwx

Originally posted by red-M at 2005-6-2 15:38:
upiea1.43发布了，可以免疫它啦
详见：http://www.lumix.cn/cn/cisid.htm

　　好人真多啊！使用中……

yggcwx

Originally posted by phoenix at 2005-6-2 19:25:
upiea的免疫原理比较简单，只是屏蔽ActiveX控件，而且对于新出现的插件由于不知道它的GUID，所以只能是一个版本一个版本的升级上去

它的屏蔽原理，是微软预留的ActiveX控件注册表接口，在
HKEY_LOCAL_MACHIN ...

　　这个注册文件sp1下可否使用？

yggcwx

　　　我不是来辩论的。
　　“我已经把上面我回的帖子编辑了，去掉了一些措辞”－－什么措辞？隐含冷嘲热讽之措辞。
　　“看到你的帖子我就感觉不爽”－－？从骨子不喜欢批评是也。说错了，很多人都不喜欢批评，这是人之常情。准确的说，老大之所以不喜欢偶的东东，可以归结为8个字：宽以待己，苛以待人。比如，前些天发生了一次不愉快的论战，老大对维护自己的一方满口脏话视而不见，对反方多数理智讲道理的却批评有加。比如，TW里明明有“安全浏览”一项，别人讨论相关问题时却冷嘲热讽。比如，自己可以骂网通“混蛋”，却不许别人说dudu、新浪无耻，等等。
　　“每次都一二三点的长篇大论”－－你的冷嘲热讽太多，无奈也。
　　看看这个帖子上的其它回复吧，我和其它朋友讨论的都很愉快！不存在不能融入的问题－－你是唯一一个怪腔调说话的人。
　　关于浏览器，偶从来是多个并用的，无须你讲。
　　偶对你的腔调也确实烦了，这也是我在这个论坛上回复你的最后一帖。

[ Last edited by yggcwx on 2005-6-2 at 09:31 PM ]