CNNIC中文上網官方版

該軟體是由信息產業部授權的我國域名註冊管理機構中國網際網路信息中心推出，實現中文域名和通用網址訪問功能。該軟體符合多語種域名國際標準和《關鍵字網路定位服務解析協定技術規範》。中文域名是含有中文的域名，用戶可以使用中文域名訪問Web網站、使用中文電子郵件等網際網路套用服務。通用網址是一種新興的網路名稱地址資源，用戶在瀏覽器地址欄中輸入已經註冊為通用網址的企業名稱、產品名稱或服務名稱等就可以直達企業的網站，甚至直接瀏覽網站中特定的產品或服務的介紹網頁。

套用平台： Win9x/NT/2000/XP/2003

網民一直渴望的完全意義的中文上網，目前基本涵蓋兩個方面：一是關鍵字自然語言上網，通俗來說就是在瀏覽器地址欄中輸入中文關鍵字實現網頁訪問；另一點重要的是對域名層面的中文域名實現訪問，舉例來說就是實現對“www.北京大學.cn”的訪問。由中國網際網路信息中心推出的“中文上網官方版”良好的解決了網民對這兩方面需求，“中文上網官方版”由此成為唯一可實現此功能的全方位中文上網輔助軟體。

信息定位服務再增強

除去中文域名和通用網址功能之外，“複合通用網址”也是另一亮點。這一功能使網民不需要登錄相關網站，只需在瀏覽器地址欄直接輸入“網站名稱：任意查詢詞”的形式，其要獲得的信息就直接反饋在頁面上。如此以 來，網民不但可以減少繁瑣的上網搜尋步驟，而且還能夠節省線上時間，提高上網效率。目前CNNIC已經和一系列知名門戶和搜尋類、電子商務類、資訊類和遊戲類站點達成合作，如新浪、網易、百度、阿里巴巴、8848等，旨在為網民提供最便捷的網上服務。如在瀏覽器地址欄輸入：“8848：數位相機”，8848網站上所有和數位相機相關的信息，包括數位相機配件等都會顯示在用戶眼前。

通用書籤提示

上網獲取各類生活資訊已經成為網民實現更方便生活和工作的必備方式之一，“中文上網官方版”整合了“通用書籤”功能，以滿足上網用戶更為實際的套用需要。“通用書籤”中列有“新聞、遊戲、政府、搜尋、教育、 音樂、下載、購物、電影、信箱”等諸多方面，在每個書籤中包含有該類知名站點。網民上網時，無需打開瀏覽器再敲入站點網址進行瀏覽，直接點擊新外掛程式顯示圖示即可以完成此步驟。 “迷你工具”營造服務快捷鍵　“中文上網官方版”同時還擁有一系列“迷你”的工具包。儘管“迷你工具”功能只占不大的一部分，但是其中卻另有乾坤。“IE一鍵清”針對上網的隱私保護問題提供幫助，IE歷史記錄、IE cookie、IE地址欄下拉列表 、Realone播放記錄、Media player播放記錄以及最近打開文檔記錄等，只需一個步驟，就可以解決用戶的後顧之憂；而“實用查詢”則提供了“天氣預報、飛機航班、列車時刻表、股票查詢、彩票查詢”等和人們日常生活相關的信息情況。 本次“中文上網官方版”的推出，目的就是希望能夠為廣大網民提供功能全面的中文上網服務。同步提供的各種網路便利套用小功能，也是希望可以增加網民套用中文上網軟體的趣味性，從而推動真正意義的中文上網在廣大網民中的普及。

但據廣大網民反映，CNNIC中文上網官方版普遍存在著安裝後無法卸載、開啟不明連線埠、增加系統負荷等問題，安裝後可能經常出現藍屏、當機。所以下載時需謹慎。

2007年8月，3萬多網民共同舉證，包括360安全衛士在內的的18款國內外知名安全軟體均認定CNNIC中文上網是惡意軟體，並提示用戶刪除。名單中包括：AVG、卡巴斯基、超級巡警、mcafee、費爾動態防禦系統、nod32、bitdefender、微點、Avast、WINDOWS 清理助手、熊貓衛士、spyware doctor、spy sweeper、Dr.web、星空防毒、ewido、驅逐艦、Trend PC-cillin等。

關於CNNIC的測評以及運行作用方式

本地安裝方式

下載(544K,滑鼠右鍵點擊"目標另外儲存為"或直接點擊)中文上網官方版軟體安裝程式；執行安裝程式進入安裝精靈，根據提示，完成安裝;

彈出線上安裝方式

點擊，即可以根據提示進行安裝。

先來看看它的安裝和卸載，等會專門分析它的安裝過程，先說一下卸載。卸載中文官方上網需要填一個隨即生成的確認碼，這是為了防止競爭同行或類似360安全助手之類的軟體自動刪除自己，然後執行正常的卸載程式。但是問題是卸載乾淨了嗎？答案是沒有，有一個殘留的驅動程式仍然駐留在你的系統中，目的是干擾同行或類似360安全助手之類的軟體正常運行，這個邏輯很簡單，不用我？！別的同行軟體你也別想用的好。證據：主驅動程式cdnprot.sys不能刪除，有些安全程式能夠刪除cdnprot.sys，但是CNNIC可沒有那么簡單，他還有一個影子驅動程式，名字是隨機生成的，可能是類似sdgwuwks.sys之類的名字，這些就殘留在你的系統中了，請神容易送神難。CNNIC在安裝的時候會釋放一個驅動程式，這是一個臨時的，安裝完成後就會刪除，這個驅動程式的目的是檢測別的軟體是否有破壞自己安裝的行為，保證安裝程式能夠正常進行，同時，安裝程式還有反調試的手段，當檢測到自己處於被調試的狀態時就主動退出，以保護關鍵代碼的安全，做成這樣大概也是同行競爭的結果吧，只是苦了用戶，你們之間互相殘殺，造成用戶的系統不穩定，這個責任是不是到了應該用法律手段解決的時候了？！

一個瀏覽器輔助軟體至於要用到系統底層驅動那種級別嗎？如果僅僅是作個瀏覽器增強功能當然用不到，但是如果做別的流氓行為就需要啦。現在看看cdnprot.sys驅動程式都幹了些什麼，首先它Hook了幾個系統關鍵函式，關於這一點我要特別說明一點，很多病毒都是採用這種技術，這些被稱作rootkit。它和一般的API hook不太一樣，它通過修改ntoskrnl.exe的System Services Descriptor Table，直接hook ntdll.dll中的核心函式，這樣相關的用戶態API最終都會調到這些底層API，通過hook相關的API可以分析用戶的行為，同時干擾同行軟體的運行。比如文中提到的中文上網，它就hook了ZwTerminateProcess，這樣使別的程式（甚至是通過windows的進程管理器）都無法刪除CNNIC的 cdnup.exe進程。因為所有的中止進程都調用的是TerminateProcess API，這最終調用的是ZwTerminateProcess，CNNIC的Hooker函式判斷參數，發現是中止自己的程式時就直接返回錯誤，這樣就永遠無法中止cdnup.exe。中文上網還Hook了ZwDeleteValueKey，目的是相同的，所有註冊表刪除操作都要經過Hooker的過濾，發現是刪除自己的東西的時候就直接返回錯誤。使用rootkit Hooker函式對系統安全構成了威脅，不僅影響系統的穩定性，嚴重的還會通過Hooker收集用戶的信息，造成信息安全泄漏。對CNNIC的hooker還要進一步分析才能判定它到底有什麼危害，不過有一點可以證明的是，CNNIC的中文上網Hooker了ZwSetSecurityObject，並嚴重干擾了這個函式的正常功能，這是一個給用戶帳號賦予許可權的函式，CNNIC的中文上網為了防止用戶使用SDTrestore工具恢復系統的SSDT（System Services Descriptor Table），所以hooker了這個函式，使得SDTrestore工具無法獲得許可權正常運行，但是這種行為已經影響到了依賴與這個函式的軟體的運行，SDTrestore就是受害者之一。順便說一下，cdnup.exe一開始是正常的，可以中止，而且對用戶沒有任何功能（只是為了檢查升級，這很無聊，我需要檢查升級的時候我會運行你的，用不找你這么熱心一直運行吧？），只是為了監控它的驅動程式是否受到了別的軟體的進攻，如果發現有別的軟體“惡意”刪除自己，他就會處於一種癲狂狀態，此時無法中止也不能從註冊表中刪除相關的啟動項，這就算粘上你了。

中文上網的驅動程式不是只安裝一個，而是一次裝三個，目的是為了互相監視，互相保護，想的倒很周到，只是用戶倒霉了，占用系統資源還不說，什麼時候來個藍屏也不知道是怎么回事。

CNNIC的中文上網還會在Winsock2的SPI接口上做手腳，先來介紹一下SPI。Winsock2提供了LSP（Layer Service Provider: 層服務提供者）接口標準SPI，允許套用軟體開發商對Winsock進行擴展，對傳輸層的TCP/UDP等網路協定進行專門的數據流控制（如加密/解密、監控）和錯誤控制等。各層LSP實現不同開發商對Winsock DLL的擴展，以支持不同目的的網路數據流控制操作。而基本服務提供者實現最基本的TCP 協定堆疊的功能。明白了吧，這其實就是一個過濾器，給使用者提供了發現和使用任意數量的底層傳輸協定所提供的通信能力，中文上網用它來做一些URL重定向，其它還做了什麼就不得而知了。很多廣告彈出者就是利用了這一點，如果你上網時經常彈出一些廣告視窗，又在註冊表中找不到線索，那不妨研究一下你的機器上是否被裝了SPI。

安裝程式還會暗自生成一個BHO，這個是捆綁“銷售”，不要也得要，這個BHO是隨機命名的，被安置在windows目錄下的\Downloaded Program Files中，這一招夠歹毒，因為在資源管理器中查看這個目錄下是看不到檔案的，很容易被忽略，不過在dos視窗中它就原形畢露。一個瀏覽器助手需要被裝到這個地方，足以說明這不是什麼好鳥。順便說一下，這個BHO做的也是很歹毒的，用了殼，還對內部代碼加密了，每次生成這個檔案的時候都會修改檔案的大小，同時還修改相應的註冊GUID和CLSID，這使得一些靠判斷註冊表中GUID和CLSID來免疫和刪除外掛程式的一些小工具變得無效。刪除方式很簡單，將這個目錄中的dll全部刪除就行了。