北京時間11月4日,瑞星發布第三方研究報告,全文如下:
360扣扣保鏢為何激怒騰訊?
瑞星第三方獨立研究報告(一)
2010年10月29日,360公司在京宣布,推出一款名為“扣扣保鏢”的安全工具,全面保護QQ用戶的安全。該工具包括防止隱私泄漏、防止木馬盜取QQ賬號以及給QQ加速等功能。360稱,扣扣保鏢默認不修改QQ任何設置,所有功能都必須由用戶主動選擇觸發,并可隨時啟用和恢復。
瑞星研發部門通過對扣扣保鏢(1.0.0.1004版本)主要功能實現模塊QGuard.dll進行分析:發現該軟件除了擁有其宣稱的11大類可見功能之外,至少還存在4個隱藏功能,這些功能僅針對QQ,且都具有用戶不可見、不可控制等特性。這些隱藏功能隨時處于活動狀態,并且可由360公司遠程開啟。
扣扣保鏢4個隱藏功能詳細分析
扣扣保鏢除了界面上的可見功能以外,還存在屏蔽QQ軟件升級、劫持騰訊瀏覽器、屏蔽QQ啟動的特定進程列表、備份并恢復QQ軟件等4個隱藏的功能,它們均由Config.ini文件進行開關控制。經分析,該控制文件在扣扣保鏢安裝包中并沒有提供,安裝后也不會自動生成,只可能由360 “云服務器”直接進行遠程投遞(或用戶可以手動生成激活隱藏功能)。也就是說,用戶對于這些隱藏功能均無法控制,而且不了解其激活和生效情況。
技術細節:
用戶使用扣扣保鏢(1.0.0.1004版本)時,它會把自己的主要功能模塊QGuard.dll通過全局鉤子方式注入騰訊QQ進程,并攔截QQ進程的系統調用ShellExecuteExW和CreateProcessInternalW等,時刻關注Config.ini文件(隱藏功能激活文件),一旦發現該文件存在,將根據文件內容進行相關隱藏功能的激活動作。
通過對現有的4個隱藏功能代碼分析,我們可以推測Config.ini文件至少存在以下4種開關:
[Main]
DisableUpdate=1 //自動屏蔽QQ升級,導致用戶不知情的情況下QQ軟件無法升級。
DisableBrowser=1 //劫持QQ對瀏覽器的啟動并替換為360”安全”瀏覽器。
Com=《過濾的進程文件名1》;《過濾的進程文件名2》;……
//自動屏蔽QQ啟動指定鏡像名例表的進程啟動。
enable_repair=1 //開啟備份QQ的參數:是否開啟彈框引導用戶備份QQ軟件
MaxNotifyCount = 50 //開啟備份QQ的參數:最多彈框次數
FirstNotify=1 //開啟備份QQ的參數: QQ啟動后彈框的時間(秒)
以下為扣扣保鏢QGuard.dll 進行WINDOWS API 攔截及API攔截功能實現的相關代碼
扣扣保鏢在QQ IM進程中攔截相關系統API后將實時監控QQIM啟動進程動作(用戶不能使用任何功能設置項進行隱藏功能關閉操作) 上一頁1 234 下一頁進入論壇>>
(責任編輯:堅定)聲明:IT商業新聞網登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢:(010)68023640. 如果你對網站有好的建議請點擊網站建議發表你的建議。
推薦閱讀
中國互聯網正迎來歷史上最大規模的不兼容事件,在騰訊QQ宣布不兼容360系列軟件之后,金山、搜狗、傲游、可牛、百度聯手再次做出相似的決定。五家廠商要求360向全體網民道歉,并表示如果360“堅持欺騙和綁架用戶”,五>>>詳細閱讀
本文標題:瑞星研究報告:360扣扣保鏢為何激怒騰訊
地址:http://www.sdlzkt.com/a/xie/20111230/192496.html
網友點評
精彩導讀
科技快報
品牌展示