德甲

瑞星第三方研究報告360扣扣保鏢爲何激怒

2019-11-09 02:53:08来源:励志吧0次阅读

北京时间11月4日消息,瑞星今天发布第三方研究报告,全文如下(本报告仅代表瑞星观点,不代表搜狐IT观点):

360扣扣保镖为何激怒腾讯

----瑞星第三方独立研究报告(一)

2010年10月29日,360公司在京宣布,推出一款名为扣扣保镖的安全工具,全面保护用户的安全该工具包括防止隐私泄漏、防止木马盗取账号以及给加速等功能360称,扣扣保镖默认不修改任何设置,所有功能都必须由用户主动选择触发,并可随时启用和恢复

瑞星研发部门通过对扣扣保镖(1.0.0.1004版本)主要功能实现模块l进行分析:发现该软件除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对,且都具有用户不可见、不可控制等特性这些隐藏功能随时处于活动状态,并且可由360公司远程开启

扣扣保镖4个隐藏功能详细分析

扣扣保镖除了界面上的可见功能以外,还存在屏蔽软件升级、劫持腾讯浏览器、屏蔽启动的特定进程列表、备份并恢复软件等4个隐藏的功能,它们均由i文件进行开关控制经分析,该控制文件在扣扣保镖安装包中并没有提供,安装后也不会自动生成,只可能由360 云服务器直接进行远程投递(或用户可以手动生成激活隐藏功能)也就是说,用户对于这些隐藏功能均无法控制,而且不了解其激活和生效情况

技术细节:

用户使用扣扣保镖(1.0.0.1004版本)时,它会把自己的主要功能模块l通过全局钩子方式注入腾讯进程,并拦截进程的系统调用ShellExecuteExW和CreateProcessInternalW等,时刻关注i文件(隐藏功能激活文件),一旦发现该文件存在,将根据文件内容进行相关隐藏功能的激活动作

通过对现有的4个隐藏功能代码分析,我们可以推测i文件至少存在以下4种开关:

[Main]

DisableUpdate=1 //自动屏蔽升级,导致用户不知情的情况下软件无法升级

DisableBrowser=1 //劫持对浏览器的启动并替换为360安全浏览器

Com=过滤的进程文件名1;过滤的进程文件名2;

//自动屏蔽启动指定镜像名例表的进程启动

enable_repair=1 //开启备份的参数:是否开启弹框引导用户备份软件

MaxNotifyCount = 50 //开启备份的参数:最多弹框次数

FirstNotify=1 //开启备份的参数: 启动后弹框的时间(秒)

以下为扣扣保镖l 进行WINDOWS API 拦截及API拦截功能实现的相关代码

扣扣保镖在 IM进程中拦截相关系统API后将实时监控IM启动进程动作(用户不能使用任何功能设置项进行隐藏功能关闭操作)

隐藏功能一:激活后自动屏蔽软件升级

该隐藏功能影响域:

该隐藏功能激活后,的安全组件、本身等软件都不能正常更新升级(用户毫不知情,也不会得到任何错误提示),软件将变成一个死软件

以下为扣扣保镖l在拦截ShellExecuteExW及CreateProcessInternalW后进行的 IM启动升级进程(屏蔽升级)识别及屏蔽升级部分代码

如果发现启动的是e、e和e并在i文件中DisableUpdate=1则将绕开真实系统调用,使升级进程启动失效这些操作将对用户没有任何提示

隐藏功能二:激活后根据指定进程列表进行启动程序的拦截

该隐藏功能影响域:

该隐藏功能激活后,将根据360投送的i里指定的进程名进行启动程序过滤这将让360可以非常方便进行可控的启动程序拦截

扣扣保镖还会尝试读取位于安装目录下360\360safe\360QGuard\下的i中Main主键下的Com字段(参照上文所述i结构)由于i在默认安装情况下不存在,在此无法得知具体需要屏蔽的进程,但是通过分析代码可以得知此字段为一个由;分割的一个进程列表扣扣保镖将拦截此列表中所有文件名相同的进程的启动

以下为启动程序屏蔽列表部分代码

以下为:扣扣保镖l屏蔽列表读取代码

除此之外还会在%AppData%的配置文件i中读取component字段,其中每一项镜像名其后的0和1为进程屏蔽开关

%AppData%\360QGuard\i内容如下:

[component]

要阻止的文件名及扩展名=0|1

隐藏功能三:激活后对软件的浏览器进行劫持(替换成360浏览器)

该隐藏功能影响域:

该功能激活后, 进程启动的浏览器进程(带参数浏览URL方式)将被替换成启动360SE来进行浏览(装着360浏览器的情况下)由于该功能是拦截 API实现,所以无论用户设置的默认浏览是什么,也不论腾讯当前选用那个浏览器都将被劫持成360SE(附:该隐藏功能不单可以劫持e,e,还能根据升级的配置随时指定劫持的浏览器进程名)

这样软件用户聊天时带的所有URL链接的浏览量将都被360SE获取

扣扣保镖l拦截程序,发现 IM启动的程序为腾讯的浏览器(e和e),且i文件内容中有DisableBrowser=1,则将 IM启动的浏览器自动替换为360的浏览器

除此之外,通过最后一行Call InitComponent读取位于%AppData%的配置文件i中的component项是否有指定名称的镜像名,如果发现也将替换为360的浏览器

隐藏功能四:激活后欺骗用户对软件进行备份(并可做恢复操作)

该隐藏功能影响域:

该隐藏功能激活后,将根据360投送的i里配置的参数引导用户备份软件到360指定目录,并可通过扣扣保镖进行恢复

在i里填入以上内容,在启动时会出现以下对话框

在这里可以禁用的自动更新功能备份按钮会将的全部数据备份到360的配置目录如下图:

相关代码如下:

分析总结:

由于360扣扣保镖的这4个隐藏功能针对性极强(针对软件)并具有:

1、在不被用户知情的情况下进行破坏其它软件正常运行的流氓软件特性

2、绕开用户控制隐蔽触发的后门功能特性

3、注入其它进程,修改其正常功能运行方式的外挂特性

而这些技术手段通常只在木马、后门、病毒这类恶意软件上见到,在一款以安全为名的软件上出现并针对正常软件使用是极为罕见的这也可以很好地理解为什么360让它如此短命,腾讯为什么如此愤怒

附:

从百度百科中查出一些公众认知的定义:

外挂:外挂一般是指在电脑运行中,一个程序通过某种事件触发而得以挂接到另外一个程序的空间里(常用的触发事件有键盘触发,鼠标触发,消息触发等),挂接的目的通常是想改变被挂接程序的运行方式

后门功能:指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的方法

流氓软件新发展:新的流氓软件可能并没有捆绑插件,新的流氓行为包括故意妨碍其他同类软件的使用,新的流氓行为包括把自己的流氓行为说成是BUG或者好功能,以此来掩盖自己肮脏的目的,新的流氓都精通心理学,把用户的心理研究的透透彻彻,并利用这种心理来做利于自己的事情

生物谷
生物谷药业
腹泻可以用远大医药立可安吗
分享到: