最新的招行网银客户端安装后,在 %systemroot%\system32 目录下生成如下 3 个文件: sbmc32.dll sbmc32.sys sbmc32.vxd 并在 %systemroot%\system32\drivers 目录下生成 kbwatch.sys 文件。 同时,运行客户端会导致 Windows Firewall 自动启用,并关闭远程桌面功能。 后一个问题还好理解,毕竟它的出发点是让系统更安全 (但是不应像流氓软件一样悄悄更改系统设置,通知用户是有必要的)。前面关于那 4 个文件,则有问题。sbmc32.dll 其实就是大名鼎鼎的 WinIO.dll 改名而来 (改名之后看上去很像招行自行开发的软件),网银客户端启动需要调用这 3 个文件,并且将其中任何一个改名都会导致网银客户端启动失败。 那么 kbwatch 呢?似乎客户端已经不需要它了,网上也有人说这个文件已经不需要了,可以安全删除。因为它的名字实在太诡异——keyboard watch, 不放心,就把它删除了,并删除注册表中一切与之相关的键值。谁知,后面的事情差点让人崩溃! 今天回家打开电脑,进入系统后发现键盘无法输入任何字符,已经排除连接问题——键盘指示灯亮。进入 Device Manager, 现在键盘设备上居然出现感叹号,显然 Windows 认为键盘设置有问题。 这时候已经无法用键盘输入字符,连输入法都自动关闭了。联想到 kbwatch.sys 与招行网银有关,通过收藏夹进入招行网站,重新下载客户端程序,安装完成后重启,键盘居然神奇地恢复工作了! 我想看一下是否这次新的安装自动添加了 kbwatch.sys, 结果让人感到意外,不仅 %systemroot%\system32\drivers 目录下没有这个文件,连 %systemroot%\system32 下也没有 sbmc.* 的那 3 个文件! 现在分析一下,情况可能有两种,招行遭到铺天盖地的口水讨伐之后,(1) 悄悄修改了安装程序,使之自动删除这几个可疑文件,或 (2) 将这几个文件重新打包或换马甲,以平息民愤。 今天安装这个版本后,同时解决了另一个困扰已久的问题:如果在 QQ 登录时密码输入稍快,就会返回密码错误的提示(必须以很慢的速度输入密码,才能正常登录)。猜想可能是网银和 QQ 的两个驱动级(现在“流氓软件”普遍使用的伎俩)软件互相打架所致。 经过今天这次事件,我决定不再信任招行网上银行,等我再买完一本书,就会去营业厅注销网上银行业务。唉,招行这个证书我可是连续用了 4 年啊 T_T, 不过保住血汗钱最重要,以后还是不要碰网上银行这个烫手的山芋好了。
12/01/2006 补充:经过多人证实,昨天招行确实悄悄更新了安装程序,并将几个有争议的文件重新“处理”过,不再使用驱动级组件。