[align=left] [p][color=#0000ff]迅雷在 v5.7.3.389 及更高版本 xunleibho.dll 中加入了以下网址的链接：pubstat.sandai.net ， [br]并将dll（模块）注入到正常进程explorer.exe 下运行。 [br][br]sandai.net 应该就是迅雷在线的网址了。这个 xunleibho.dll 会复制自身一份并重命名为 xunleibho_now.dll，位于安装目录下的 comdlls 目录中，与浏览器挂接。既然是 bho(browser helper object，浏览器辅助对象，简称bho)，并且加了上面那个网址链接，就比较讨厌了。当你初次双击“我的电脑”或打开 ie 的时候就会后台访问这个网址。就我本人来说，不喜欢这样，还是直接转成最近的无此链接的低版本 v5.7.2.368。把能找到的迅雷几个版本都拿来看了一下，没这个链接的最高版本就是 v5.7.2.368，后面的 v5.7.3.389 和 v5.7.4.401 都有了。我是偷懒，直接用 v5.7.2.368 的 xunleibho.dll 替换了新版的 xunleibho.dll 和 xunleibho_now.dll，对下载普通文件来说，暂时没发现什么问题，就没管了。 [br][br][br]pubstat.sandai.net 的ip地址是 219.129.83.20 广东省韶关市 电信adsl [br][br]在cmd下 ping pubstat.sandai.net 就知道了,这个ip有时会变，但这个域名不变。 [br][br]可以做一个估计（仅仅是估计）：访问这个ip的原来是迅雷的一个组件调用了explorer.exe，本来你是开着迅雷才会上传文件的，可能迅雷觉得那样资源太少，也太慢，于是加入了这个功能，现在就是不开迅雷也会上传，但是为什么非要调用explorer.exe呢？大家都知道explorer.exe负责windows的资源管理器，我们获得系统内的文件都需要通过explorer.exe，为了获得更多的资源文件迅雷于是加入了这个功能，可怕的是你的机器中的一些机密文件有可能无法得到保证了。[/color][/p] [p][/p] [p][color=#0000ff]安装迅雷后，迅雷插件xunleibho.dll会插入explorer中，它会在后台得用explorer不定时的链接 pubstat.sandai.net的16000端口，以便上传资源文件(关掉迅雷后一样)。（我不知道安装了迅雷的朋友防火墙有没有提示explorer访问网络，反正微点的防火墙提示了）[br][br]方法：利用ie插件管理来禁止xunleibho.dll插入explorer中[br][br]1。打开 gpedit.msc(组策略)，在 windows组件 中的找到 internet explorer下的 安全 项（在 用户设置 或本地计算机设置 中找都可以），找开它，找到 插件管理 项，点击它，在右边找到 所有进程，将它设置为enable，这样 ie插件管理 中的设置就可以影响所有进程了，或者你也可以将 进程列表 设置为enable ,在列表中explorer.exe 1，这样可以使 ie插件管理中的设置只影响explorer和ie[br][br]2。在 ie插件管理 中禁用 thunder browser helper，重启计算机[br][br]现在你再查查explorer所调用的dll文件，xunleibho.dll已经踢去了，现在的explorer不会再有链接网络的举动了[br][br]另外，个人发现把迅雷 system32和迅雷安装目录\program 文件夹下的cid_store.dat删除重建设置为只读后，开着迅雷的时候，迅雷还是会上传下载列表中存在的文件，这个是利用process monitor查出来的，我的迅雷配置中上传选项为手动上传，右击下载列表中文件，它的手动上传为灰色的，可是迅雷它在频繁的读取关闭我下载的文件，我算了一下，迅雷平均每秒读取关闭文件3，4次[br][/color][/p] [p][color=#0000ff][color=#000000]注意了,你开着迅雷,不管已下载列表框是否有文件(是否已经被你删除),迅雷都会自动发现可以上传的文件,并且上传. 开始我认为是由于迅雷自己偷偷保留历史下载文件列表(c:\program files\thunder network\thunder\profiles\history.dat),所以从中发现可以上传的文件,后来我发现根本不是这样![br][br]history.dat这里面有你的下载记录,开始我估计是他上传的根据.后来我证实了我的估计是错误的.我把这文件删除了.重新启动. 再开迅雷做监视,发现他仍然在偷偷上传我硬盘上的文件.我愤怒了!我不知道他怎么知道我的硬盘里面有那些可以上传的文件.我估计还有什么临时文件没有删除干净!但是我不知道是什么临时文件.这个我查明白了再写出来.我估计他并不是扫描我的整个硬盘. 好了,下面教你如何“怒看”.[br][br]1,首先去微软官方网站去下载process monitor这个进程监视器: [br][/color][url=http://technet.microsoft.com/zh-cn/sysinternals/bb896645(en-us).aspx]http://technet.microsoft.com/zh-cn/sysinternals/bb896645(en-us).aspx [/url][br][br][color=#000000]2,下载网络流量检测软件[br]byteometer [/color][url=http://byteometer.com/]http://byteometer.com/[/url][br][br][color=#000000]3,打开迅雷5,打开byteometer,打开process monitor(我用的汉化版),点击“过滤器”->"过滤器"->选择"进程名"->“是”->thunder5.exe->增加 然后就等着吧,你可以选择自动滚动. [br][br]4,1分钟后,你就会看到下面的图的内容: 第一个图你能看到他在上传我d盘下的风色幻想游戏,和一个电影,还有vs2008 第二个图你能看到他每秒钟打开关闭你的文件多次,为什么这么做?因为他怕锁定文件句柄然后被用户发现.没别的.不多说了.[br][br][/color][url=http://cnbeta.com/upimg/080216/ugmbbc_202346.png][color=#000000][img]http://cnbeta.com/upimg/080216/ugmbbc_202346.png[/img][/color][/url][color=#000000] [br][br][/color][url=http://cnbeta.com/upimg/080216/ugmbbc_202415.png][color=#000000][img]http://cnbeta.com/upimg/080216/ugmbbc_202415.png[/img][/color][/url][color=#000000] [br][br]2008/2/15后记 迅雷很阴险地把所有的你以前下载过的文件都存储到了系统盘下的[b]windows\system32\cid_store.dat[/b]里面.[br][br]这样你每一次启动迅雷之后,立刻他就会从这个数据库里面读取内容,然后上传.[br][br]你只需要在桌面建立一个批处理 d.bat(建立方法是用记事本另存为) 里面写上一句话, del c:\windows\system32\cid_store.dat(c:要替换成系统盘盘符)[br][br]记得每一次用完迅雷,运行一下这个就可以了.目的就是自动删除该数据库.记住,删除这个没有性能影响.[br][br]尽管如此,我发现迅雷在没有 cid_store.dat 的时候仍然每1秒钟疯狂下载一次广告,每隔一秒下一次! 所以用完关了最好.[/color][br][/color][/p] [p][color=#0000ff][color=#000000]不用删除迅雷文件列表，不用清空迅雷垃圾箱，迅雷也不会扫描整个磁盘，只要这个文件存在，迅雷就会把你下载的数据偷偷的上传。当然，你可以把下载的东西改个名称，或者换个路径，这样也可以防止上传，但是这样未免麻烦了。[br][br]　　网上有一个方法教大家每次使用迅雷后打开一个批处理，目的就是删除这个[b]cid_store.dat[/b]文件，让迅雷“忘记”曾经下载过什么，从而避开上传。[/color][/color][/p] [p]　　这个方法也挺麻烦的，这里教给大家一招新的，简单的办法。[/p] [p]　　[color=#ff0000]删除c:\windows\system32\cid_store.dat文件，然后在c:\windows\system32\目录下，新建一个文件夹，名称为cid_store.dat，这样就没办法再生成任务记录文件啦[/color]，大功告成，简单吧[/p] [p]　　此方法的道理就是，在同一个文件夹内，无法共存名字相同的文件或文件夹。[/p] [p][/p] [p]想禁止迅雷上传同学，可以按照下面的方法做：[br]/ q/ n) ]7 ~0 @" u6 o) ][color=#fff]7 |( a9 \9 k" x5 s: j, c* z[/color][br]由于被转多次，实在不知原文地址。简单的说，就是消灭掉windows\system32\cid_store.dat 这个文件。建议使用第二种方法，先删后伪造文件。[br]1 [; |; v2 ^* ^. g[br]9 z9 e" p6 e e; z0 qquote:[color=#fff]( r! g% j. h( m2 j$ [[/color][br]感谢网友alex. daniel. lewis发现了这个文件（原文地址），顺便让我们bs一下x雷欺负新手不会判断%windir%system32目录下文件所做的一种近乎窃贼的行为。[br]; }" |7 d s s3 f! u# `在这里呢，我主要说下对付这个文件的最简单的三种方法。[color=#fff]% b4 j5 f$ v& l- e/ ?% j. u1 e[/color][br]一、删除文件[br]% j, n: \3 u- g1 k由于每次程序都必须调用，所以我们大可使用手工查找的方法删除该文件，或者把删除操作定到系统任务中，这样就可以定时删除该文件，不过显然这是很不明智的选择。[color=#fff]! e% p9 x; p. a/ j- ?[/color][br]二、假冒文件夹[color=#fff]( d' s f. i( z9 i' k' x[/color][br]利 用“瘟都死”系统的文件系统中“文件名不能与目录名相同”的bug，我们可以在删除cid_store.dat文件后再在同目录中建立一个名为 cid_store.dat的目录，这样就算x雷有办法继续写数据，可因为最终目标是个目录，写操作自然失败，也就无法实现启动后的资源读取、调用。[br]/ m7 b2 v0 t4 m这个方法跟多数防autorun.inf病毒的工具用的是一样的原理，不过可以说该方法一劳永逸，估计官方不在程序里写个删除再建的代码或另设置一个文件来存放的话是不可能绕的过的，感谢那些钻到这个窝的朋友们。[br]' n2 h2 b# p3 u q7 n三、只读文件[br]' a5 @4 q! t* p" @大家都知道该文件是一个二进制文件，内部存储的是一个个下载过的连接与本地对应文件的记录，可大家有没有想过用只读属性的0字节文件替代它，让x雷从头到尾都无法进行偷窃操作呢？[br]+ e0 n3 y( d2 n6 o# s方法很简单：用记事本打开该文件，把文件内容全部删除，存盘，然后把文件属性设置成只读、不存档、不隐藏，就搞定了。[color=#fff]/ q# z- i, ~8 n) }1 t8 l[/color][br]这是龙某在一次很偶然的实验中获得的结果，在测试了20多个emule、http、ftp、bt文件前后，该文件一直没有改变内容与属性，说明我的推断是正确的，至少x雷还不具备判断文件类型&强制写入功能，否则大家想放心也只有用方法二了。[/p] [p]转载：[url=http://hi.baidu.com/weihailantian/blog/item/e3c6fa1ea1f41b0c304e15b9.html]http://hi.baidu.com/weihailantian/blog/item/e3c6fa1ea1f41b0c304e15b9.html[/url][/p][/align]