[align=left]
迅雷在 v5.7.3.389 及更高版本 xunleibho.dll 中加入了以下網(wǎng)址的鏈接:pubstat.sandai.net ,
并將dll(模塊)注入到正常進程explorer.exe 下運行���。
sandai.net 應(yīng)該就是迅雷在線的網(wǎng)址了。這個 xunleibho.dll 會復(fù)制自身一份并重命名為 xunleibho_now.dll�,位于安裝目錄下的 comdlls 目錄中,與瀏覽器掛接�。既然是 bho(browser helper object,瀏覽器輔助對象����,簡稱bho)�����,并且加了上面那個網(wǎng)址鏈接�����,就比較討厭了。當(dāng)你初次雙擊“我的電腦”或打開 ie 的時候就會后臺訪問這個網(wǎng)址���。就我本人來說�,不喜歡這樣�,還是直接轉(zhuǎn)成最近的無此鏈接的低版本 v5.7.2.368。把能找到的迅雷幾個版本都拿來看了一下��,沒這個鏈接的最高版本就是 v5.7.2.368��,后面的 v5.7.3.389 和 v5.7.4.401 都有了����。我是偷懶,直接用 v5.7.2.368 的 xunleibho.dll 替換了新版的 xunleibho.dll 和 xunleibho_now.dll�,對下載普通文件來說,暫時沒發(fā)現(xiàn)什么問題�����,就沒管了����。
pubstat.sandai.net 的ip地址是 219.129.83.20 廣東省韶關(guān)市 電信adsl
在cmd下 ping pubstat.sandai.net 就知道了,這個ip有時會變,但這個域名不變�����。
可以做一個估計(僅僅是估計):訪問這個ip的原來是迅雷的一個組件調(diào)用了explorer.exe,本來你是開著迅雷才會上傳文件的�����,可能迅雷覺得那樣資源太少��,也太慢��,于是加入了這個功能�,現(xiàn)在就是不開迅雷也會上傳,但是為什么非要調(diào)用explorer.exe呢���?大家都知道explorer.exe負責(zé)windows的資源管理器�����,我們獲得系統(tǒng)內(nèi)的文件都需要通過explorer.exe����,為了獲得更多的資源文件迅雷于是加入了這個功能�,可怕的是你的機器中的一些機密文件有可能無法得到保證了���。
安裝迅雷后�,迅雷插件xunleibho.dll會插入explorer中,它會在后臺得用explorer不定時的鏈接 pubstat.sandai.net的16000端口���,以便上傳資源文件(關(guān)掉迅雷后一樣)�。(我不知道安裝了迅雷的朋友防火墻有沒有提示explorer訪問網(wǎng)絡(luò)���,反正微點的防火墻提示了)
方法:利用ie插件管理來禁止xunleibho.dll插入explorer中
1�。打開 gpedit.msc(組策略)��,在 windows組件 中的找到 internet explorer下的 安全 項(在 用戶設(shè)置 或本地計算機設(shè)置 中找都可以)���,找開它�,找到 插件管理 項����,點擊它,在右邊找到 所有進程�,將它設(shè)置為enable,這樣 ie插件管理 中的設(shè)置就可以影響所有進程了���,或者你也可以將 進程列表 設(shè)置為enable ,在列表中explorer.exe 1�,這樣可以使 ie插件管理中的設(shè)置只影響explorer和ie
2。在 ie插件管理 中禁用 thunder browser helper����,重啟計算機
現(xiàn)在你再查查explorer所調(diào)用的dll文件,xunleibho.dll已經(jīng)踢去了�,現(xiàn)在的explorer不會再有鏈接網(wǎng)絡(luò)的舉動了
另外,個人發(fā)現(xiàn)把迅雷 system32和迅雷安裝目錄\program 文件夾下的cid_store.dat刪除重建設(shè)置為只讀后����,開著迅雷的時候,迅雷還是會上傳下載列表中存在的文件�,這個是利用process monitor查出來的,我的迅雷配置中上傳選項為手動上傳�,右擊下載列表中文件,它的手動上傳為灰色的��,可是迅雷它在頻繁的讀取關(guān)閉我下載的文件�����,我算了一下���,迅雷平均每秒讀取關(guān)閉文件3����,4次
注意了,你開著迅雷,不管已下載列表框是否有文件(是否已經(jīng)被你刪除),迅雷都會自動發(fā)現(xiàn)可以上傳的文件,并且上傳. 開始我認為是由于迅雷自己偷偷保留歷史下載文件列表(c:\program files\thunder network\thunder\profiles\history.dat),所以從中發(fā)現(xiàn)可以上傳的文件,后來我發(fā)現(xiàn)根本不是這樣!
history.dat這里面有你的下載記錄,開始我估計是他上傳的根據(jù).后來我證實了我的估計是錯誤的.我把這文件刪除了.重新啟動. 再開迅雷做監(jiān)視,發(fā)現(xiàn)他仍然在偷偷上傳我硬盤上的文件.我憤怒了!我不知道他怎么知道我的硬盤里面有那些可以上傳的文件.我估計還有什么臨時文件沒有刪除干凈!但是我不知道是什么臨時文件.這個我查明白了再寫出來.我估計他并不是掃描我的整個硬盤. 好了,下面教你如何“怒看”.
1,首先去微軟官方網(wǎng)站去下載process monitor這個進程監(jiān)視器:
http://technet.microsoft.com/zh-cn/sysinternals/bb896645(en-us).aspx
2,下載網(wǎng)絡(luò)流量檢測軟件
byteometer http://byteometer.com/
3,打開迅雷5,打開byteometer,打開process monitor(我用的漢化版),點擊“過濾器”->"過濾器"->選擇"進程名"->“是”->thunder5.exe->增加 然后就等著吧,你可以選擇自動滾動.
4,1分鐘后,你就會看到下面的圖的內(nèi)容: 第一個圖你能看到他在上傳我d盤下的風(fēng)色幻想游戲,和一個電影,還有vs2008 第二個圖你能看到他每秒鐘打開關(guān)閉你的文件多次,為什么這么做?因為他怕鎖定文件句柄然后被用戶發(fā)現(xiàn).沒別的.不多說了.
2008/2/15后記 迅雷很陰險地把所有的你以前下載過的文件都存儲到了系統(tǒng)盤下的windows\system32\cid_store.dat里面.
這樣你每一次啟動迅雷之后,立刻他就會從這個數(shù)據(jù)庫里面讀取內(nèi)容,然后上傳.
你只需要在桌面建立一個批處理 d.bat(建立方法是用記事本另存為) 里面寫上一句話, del c:\windows\system32\cid_store.dat(c:要替換成系統(tǒng)盤盤符)
記得每一次用完迅雷,運行一下這個就可以了.目的就是自動刪除該數(shù)據(jù)庫.記住,刪除這個沒有性能影響.
盡管如此,我發(fā)現(xiàn)迅雷在沒有 cid_store.dat 的時候仍然每1秒鐘瘋狂下載一次廣告,每隔一秒下一次! 所以用完關(guān)了最好.
不用刪除迅雷文件列表����,不用清空迅雷垃圾箱,迅雷也不會掃描整個磁盤��,只要這個文件存在��,迅雷就會把你下載的數(shù)據(jù)偷偷的上傳�。當(dāng)然,你可以把下載的東西改個名稱���,或者換個路徑�,這樣也可以防止上傳�,但是這樣未免麻煩了。
網(wǎng)上有一個方法教大家每次使用迅雷后打開一個批處理�,目的就是刪除這個cid_store.dat文件,讓迅雷“忘記”曾經(jīng)下載過什么�����,從而避開上傳�����。
這個方法也挺麻煩的,這里教給大家一招新的����,簡單的辦法。
刪除c:\windows\system32\cid_store.dat文件�����,然后在c:\windows\system32\目錄下�����,新建一個文件夾�,名稱為cid_store.dat,這樣就沒辦法再生成任務(wù)記錄文件啦����,大功告成,簡單吧
此方法的道理就是����,在同一個文件夾內(nèi),無法共存名字相同的文件或文件夾��。
想禁止迅雷上傳同學(xué),可以按照下面的方法做:
/ q/ n) ]7 ~0 @" u6 o) ]7 |( a9 \9 k" x5 s: j, c* z
由于被轉(zhuǎn)多次��,實在不知原文地址����。簡單的說�����,就是消滅掉windows\system32\cid_store.dat 這個文件�。建議使用第二種方法,先刪后偽造文件�。
1 [; |; v2 ^* ^. g
9 z9 e" p6 e e; z0 qquote:( r! g% j. h( m2 j$ [
感謝網(wǎng)友alex. daniel. lewis發(fā)現(xiàn)了這個文件(原文地址),順便讓我們bs一下x雷欺負新手不會判斷%windir%system32目錄下文件所做的一種近乎竊賊的行為��。
; }" |7 d s s3 f! u# `在這里呢����,我主要說下對付這個文件的最簡單的三種方法。% b4 j5 f$ v& l- e/ ?% j. u1 e
一�����、刪除文件
% j, n: \3 u- g1 k由于每次程序都必須調(diào)用��,所以我們大可使用手工查找的方法刪除該文件,或者把刪除操作定到系統(tǒng)任務(wù)中�,這樣就可以定時刪除該文件,不過顯然這是很不明智的選擇����。! e% p9 x; p. a/ j- ?
二、假冒文件夾( d' s f. i( z9 i' k' x
利 用“瘟都死”系統(tǒng)的文件系統(tǒng)中“文件名不能與目錄名相同”的bug��,我們可以在刪除cid_store.dat文件后再在同目錄中建立一個名為 cid_store.dat的目錄�,這樣就算x雷有辦法繼續(xù)寫數(shù)據(jù),可因為最終目標是個目錄�,寫操作自然失敗,也就無法實現(xiàn)啟動后的資源讀取����、調(diào)用。
/ m7 b2 v0 t4 m這個方法跟多數(shù)防autorun.inf病毒的工具用的是一樣的原理���,不過可以說該方法一勞永逸����,估計官方不在程序里寫個刪除再建的代碼或另設(shè)置一個文件來存放的話是不可能繞的過的���,感謝那些鉆到這個窩的朋友們�。
' n2 h2 b# p3 u q7 n三、只讀文件
' a5 @4 q! t* p" @大家都知道該文件是一個二進制文件���,內(nèi)部存儲的是一個個下載過的連接與本地對應(yīng)文件的記錄�,可大家有沒有想過用只讀屬性的0字節(jié)文件替代它��,讓x雷從頭到尾都無法進行偷竊操作呢��?
+ e0 n3 y( d2 n6 o# s方法很簡單:用記事本打開該文件����,把文件內(nèi)容全部刪除�,存盤,然后把文件屬性設(shè)置成只讀����、不存檔、不隱藏��,就搞定了����。/ q# z- i, ~8 n) }1 t8 l
這是龍某在一次很偶然的實驗中獲得的結(jié)果,在測試了20多個emule�、http�����、ftp��、bt文件前后�����,該文件一直沒有改變內(nèi)容與屬性����,說明我的推斷是正確的�,至少x雷還不具備判斷文件類型&強制寫入功能,否則大家想放心也只有用方法二了����。
轉(zhuǎn)載:http://hi.baidu.com/weihailantian/blog/item/e3c6fa1ea1f41b0c304e15b9.html
[/align]
該文章在 2010/6/27 17:53:56 編輯過
400 186 1886
