分析百度“IE搜索伴侣”的源代码

csx

       最近发现在浏览一些网站时，会不知不觉的被安装上一个来自百度公司名为“IE搜索伴侣”的IE插件。

　　这个插件极为怪异，有时的签名是baidu.com，有时的签名是Gaoling Interactive Information Technology Corporation limITed，不仅偷偷摸摸还极为霸道，3721一类的IE插件还几天弹一次，百度的这个插件却每分每秒无时不刻的在疯狂弹出，让人防不胜防。

　　百度插件开机自动运行“BIE”进程，拖慢上网速度，使系统运行极不稳定，在有的杀毒软件论坛里用户在声讨这个插件，很多网友发现百度插件安装后不经用户许可就删除用户硬盘数据和注册表项，致使一些软件无法正常运行，更可怕的是百度这个叫“BIE”的后台程序隐藏运行，在系统配置程序里删不掉，其对应的注册表项删除后又自动恢复，与病毒的特征完全一样。在金山毒霸的论坛里还有用户反应百度插件与中国游戏中心在线客户端、影音卫士等软件冲突，关机时经常会致使IE出错。

　　通过分析这个软件的源码可以看出，这是个一个写得很粗糙的Windows应用程序：

[C++] 纯文本查看 复制代码

#include "windows.h" 
#include "winbASE.h" 
void main() 
{ 
　char buf[MAX_PATH]; 
　::ZeroMemory(buf, MAX_PATH); 
　::GetWindowsDirectory(buf, MAX_PATH); 
　char filename[MAX_PATH]; 
　::ZeroMemory(filename, MAX_PATH); 
　strcpy(filename, buf); 
　strcat(filename, "\\Downloaded Program Files\\BDPlugin.dll"); 
　::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT); 
　::ZeroMemory(filename, MAX_PATH); 
　strcpy(filename, buf); 
　strcat(filename, "\\Downloaded Program Files\\BDHelper.dll"); 
　::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT); 
　::ZeroMemory(filename, MAX_PATH); 
　strcpy(filename, buf); 
　strcat(filename, "\\Downloaded Program Files\\BDSrHook.dll"); 
　::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT); 
　::ZeroMemory(filename, MAX_PATH); 
　strcpy(filename, buf); 
　strcat(filename, "\\Downloaded Program Files\\BDEx.dll"); 
　::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT); 
} 

　但这个百度IE插件用正常的卸载方法根本不能完全卸载，下面给大家介绍完全卸载这个插件的详细方法。

　　由于这个百度IE插件是使用Rundll32.exe调用连接库的，系统无法终止Rundll32.exe进程，所以我们必须先重新启动计算机，按 F8 进入安全模式（F8 只能按一次）之后删除，具体的方法网上有介绍，我就不再重复了。