CNNIC的中文上网还会在Winsock2的SPI接口上做手脚,先来介绍一下SPI。Winsock2提供了LSP(Layer Service Provider: 层服务提供者)接口标准SPI,允许应用软件开发商对Winsock进行扩展,对传输层的TCP/UDP等网络协议进行专门的数据流控制(如加密/解密、监控)和错误控制等。各层LSP实现不同开发商对Winsock DLL的扩展,以支持不同目的的网络数据流控制操作。而基本服务提供者实现最基本的TCP 协议堆栈的功能。明白了吧,这其实就是一个过滤器,给使用者提供了发现和使用任意数量的底层传输协议所提供的通信能力,中文上网用它来做一些URL重定向,其它还做了什么就不得而知了。很多广告弹出者就是利用了这一点,如果你上网时经常弹出一些广告窗口,又在注册表中找不到线索,那不妨研究一下你的机器上是否被装了SPI。
安装程序还会暗自生成一个BHO,这个是捆绑“销售”,不要也得要,这个BHO是随机命名的,被安置在windows目录下的\Downloaded Program Files中,这一招够歹毒,因为在资源管理器中查看这个目录下是看不到文件的,很容易被忽略,不过在dos窗口中它就原形毕露。一个浏览器助手需要被装到这个地方,足以说明这不是什么好鸟。顺便说一下,这个BHO做的也是很歹毒的,用了壳,还对内部代码加密了,每次生成这个文件的时候都会修改文件的大小,同时还修改相应的注册GUID和CLSID,这使得一些靠判断注册表中GUID和CLSID来免疫和删除插件的一些小工具变得无效。删除方式很简单,将这个目录中的dll全部删除就行了。我个人感觉这一招最令人无法接受,这种偷偷摸摸的行为应该受到鄙视。