澳门游戏平台大全 电子游戏平台 瑞星公布手艺解析报告,360公布注明质问瑞星中伤扣扣保镖

瑞星公布手艺解析报告,360公布注明质问瑞星中伤扣扣保镖

Win7之家:360发布声明指责瑞星诽谤扣扣保镖

Win7之家:瑞星发布技术分析报告:360扣扣保镖存在多后门

11月5日上午消息,360今日针对瑞星公司研究报告《360扣扣保镖为何激怒腾讯》发布声明。

北京时间11月5日消息,国内知名第三方反病毒机构瑞星最新发布的技术分析报告证实,扣扣保镖除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对QQ,且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态,并且可由360公司远程开启。

11月5日凌晨,腾讯科技发表了一篇题为《瑞星第三方报告:360扣扣保镖为何激怒腾讯》的文章,文中所附的瑞星公司研究报告污称,扣扣保镖存在4个具有“流氓软件、后门功能、外挂”特性的隐藏功能。无论瑞星公司官方是否发布过这一报告,针对该报告中大量涉嫌诽谤和侵犯360公司商誉的内容,我们严正声明如下:

昨日,曾有媒体报道扣扣保镖存在四大后门技术,可以随时远程开启。但360对此矢口否认。如今终于得到来自第三方反病毒机构瑞星铁一般的证实。

1、自从360公司于2008年推出免费杀毒以来,瑞星公司一直在公开捏造360公司的各种谣言。

以下是报告全文:

2、2010年春节前,瑞星公司再次公开捏造“360后门说”,360公司很快对瑞星提起诉讼,目前该案法院仍在审理中。一个多月前,瑞星曾主动提出和解,并称愿意公开道歉。但由于其道歉信措辞含混不清,360公司拒绝接受。

360扣扣保镖为何激怒腾讯?

3、360公司已经将旗下360安全卫士、360隐私保护器、360扣扣保镖的360系列安全软件的源代码托管到国内最具权威的软件安全测试机构——中国信息安全测评中心,公开接受全体网民的监督。360产品质量与安全绝对经得起考验。反观瑞星与腾讯,虽然自身软件饱受质疑,但至今一直不敢讲将代码公开托管。

—-瑞星第三方独立研究报告

4、瑞星公司此次忽然抛出“外挂、后门说”,与腾讯公司11月4日新闻发布会上所称“扣扣保镖有后门”的说法遥相呼应。而另外几家杀毒厂商也同时有相似表态。这就是某些厂商试图重演当年的“东方微点冤案”。

2010年10月29日,360公司在京宣布,推出一款名为“扣扣保镖”的安全工具,全面保护QQ用户的安全。该工具包括防止隐私泄漏、防止木马盗取QQ账号以及给QQ加速等功能。360称,扣扣保镖默认不修改QQ任何设置,所有功能都必须由用户主动选择触发,并可随时启用和恢复。

5、我们再次强调,扣扣保镖是一款能够提高QQ安全性能的软件,却遭到腾讯等公司的污蔑。腾讯公司一直在坚称是“QQ安全模块”在偷偷扫描用户硬盘。如果腾讯公司向其6亿QQ用户公开承诺,能够保证QQ软件的安全,那么360将考虑向全社会公开扣扣保镖的源代码,以示清白。

瑞星研发部门通过对扣扣保镖主要功能实现模块QGuard.dll进行分析:发现该软件除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对QQ,且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态,并且可由360公司远程开启。

附:关于360扣扣保镖初期未发布功能的说明

电子游戏平台,扣扣保镖4个隐藏功能详细分析

在360扣扣保镖中有几项功能在首个版本中并未开放,而是跟很多客户端软件一样,采用了暂时隐掉的方式。鉴于扣扣保镖针对QQ贴身保护与优化的设计目标,所有这些被暂时隐藏的功能,也都是为了能更好保护QQ安全、为用户提供更好应用体验的功能。这种初期隐藏部分功能的做法,在包括QQ在内的许多客户端软件中,都是很正常的。

扣扣保镖除了界面上的可见功能以外,还存在屏蔽QQ软件升级、劫持腾讯浏览器、屏蔽QQ启动的特定进程列表、备份并恢复QQ软件等4个隐藏的功能,它们均由Config.ini文件进行开关控制。经分析,该控制文件在扣扣保镖安装包中并没有提供,安装后也不会自动生成,只可能由360
“云服务器”直接进行远程投递。也就是说,用户对于这些隐藏功能均无法控制,而且不了解其激活和生效情况。

为了避免被某些别有用心的人恶意曲解,下面我们就每个功能逐一进行技术层面的说明。

用户使用扣扣保镖时,它会把自己的主要功能模块QGuard.dll通过全局钩子方式注入腾讯QQ进程,并拦截QQ进程的系统调用ShellExecuteExW和CreateProcessInternalW等,时刻关注Config.ini文件,一旦发现该文件存在,将根据文件内容进行相关隐藏功能的激活动作。

  1. 关于备份/恢复QQ的功能说明:

通过对现有的4个隐藏功能代码分析,我们可以推测Config.ini文件至少存在以下4种开关:

为了避免QQ可能被木马病毒破坏造成QQ无法正常使用的情况,以及QQ可能会强制升级造成扣扣保镖出现不兼容的情况,扣扣保镖在用户QQ功能正常时会提示用户是否需要备份QQ的程序文件(仅备份QQ的程序文件如可执行文件等,不包括聊天记录等用户数据文件),当用户认为自己的QQ出现问题时,用户可以点击“修复QQ”的按钮,点击以后会列出用户此前已备份过的QQ的版本和当时备份的时间,用户可以选择把当前出现问题的版本恢复到最近一个备份过的正常版本。具体打开的方法是在扣扣保镖的安装目录如C:Program
Files360360Safe360QGuard目录下新建一个Config.ini,内容如下,

DisableUpdate=1 //自动屏蔽QQ升级,导致用户不知情的情况下QQ软件无法升级。

enable_repair=1

DisableBrowser=1 //劫持QQ对浏览器的启动并替换为360”安全”浏览器。

这样在扣扣保镖主界面右上角就会出现一个新的导航按钮“修复QQ”

Com=;;……

当点击该按钮时,会弹出下面这个对话框

//自动屏蔽QQ启动指定镜像名例表的进程启动。

用户点击“备份”按钮后,会将QQ安装目录下的程序文件进行备份。(注:用户的个人资料及聊天记录等文件不会进行备份,因为这些文件在用户的个人目录即“Users目录”,
属于用户的个人隐私,。这些程序文件会备份到C:Users用户名AppDataRoaming360QGuardQQbackup1这样的目录,备份完成后提示用户,如下

enable_repair=1 //开启备份QQ的参数:是否开启弹框引导用户备份QQ软件

备份功能最多可以备份两个版本。当用户发现自己的QQ与扣扣保镖出现不兼容问题时,用户可以点击主界面上的“修复QQ”按钮调出恢复QQ对话框,选择“恢复到这个版本”来恢复QQ到之前用户自己手动备份好的版本。为了防止恢复后QQ升级产生新的问题,在修复QQ这个对话框有一个按钮如下图,

MaxNotifyCount = 50 //开启备份QQ的参数:最多弹框次数

图片说明:用户可以自主选择恢复QQ后是否需要禁用QQ的自动升级,

FirstNotify=1 //开启备份QQ的参数: QQ启动后弹框的时间

并且把以前下载的临时QQ升级文件清除,以免用户无法登录QQ。

以下为扣扣保镖QGuard.dll 进行WINDOWS API 拦截及API拦截功能实现的相关代码

  1. 关于禁用QQ升级功能的说明:

扣扣保镖在QQ
IM进程中拦截相关系统API后将实时监控QQIM启动进程动作(用户不能使用任何功能设置项进行隐藏功能关闭操作)

众所周知,即使用户已经在QQ程序的设置项中设置了禁止QQ自动升级,QQ也经常会强制升级用户的版本以达到自己的某些目的。例如春节期间QQ强制升级QQ时捆绑安装QQ医生,不升级就不允许登录,包括中秋节和近期QQ在用户每次登录前的强制升级。所以扣扣保镖提供该功能的目的,是为了避免用户被强制升级QQ后可能出现大面积无法使用扣扣保镖的情况。该功能全部由用户手动打开,每一步都会明确提示用户,完全由用户自主决定是否使用。禁止QQ自动升级采用的技术方法只是禁止QQ运行时自动加载Auclt.exe,SelfUpdate.exe,
QQSafeUd.exe等几个升级程序,并不会删除修改或破坏这几个升级程序。

隐藏功能一:激活后自动屏蔽QQ软件升级

  1. 关于禁止QQ运行特定进程的功能说明:

该隐藏功能激活后,QQ的安全组件、QQ本身等软件都不能正常更新升级,QQ软件将变成一个“死”软件。

这个功能是配合禁止QQ自动升级功能的。由于QQ可能有隐藏的升级管道,为了避免出现无法帮用户有效禁止自动升级功能的情况,可以通过配置文件来禁用我们之前不知道的某个QQ暗藏的程序。

以下为扣扣保镖QGuard.dll在拦截ShellExecuteExW及CreateProcessInternalW后进行的QQ
IM启动升级进程识别及屏蔽升级部分代码。

  1. 关于使用360安全浏览器打开默认链接的功能说明:

如果发现启动的是auclt.exe、SelfUpdate.exe和QQSafeud.exe并在Config.ini文件中DisableUpdate=1则将绕开真实系统调用,使QQ升级进程启动失效。这些操作将对用户没有任何提示!

360安全浏览器是更安全的浏览器,可以有效防止用户打开网页时被挂马、被钓鱼网站欺诈等情况。扣扣保镖这个功能可以让用户选择是否采用360安全浏览器来打开QQ主
界面上的所有外链,该功能由开关Disable_Browser=1来控制。

隐藏功能二:激活后根据指定进程列表进行QQ启动程序的拦截

您可能会问,以上四个功能为何在扣扣保镖第一版发布时隐藏了?原因很简单,为了能让广大网民尽快用上扣扣保镖的稳定版本,经过慎重讨论,我们将有可能带来稳定性和争议的功能先行关闭,并在扣扣保镖界面中也隐掉,相关代码的设置也完全被关闭。想不到,还是被某些别有用心的公司和个人利用了。在此,我们也向虚惊一场的用户朋友致歉。

该隐藏功能激活后,将根据360投送的Config.ini里指定的进程名进行QQ启动程序过滤。这将让360可以非常方便进行可控的QQ启动程序拦截。

360隐私保护器开发小组

扣扣保镖还会尝试读取位于安装目录下360360safe360QGuard下的Config.ini中Main主键下的Com字段。由于Config.ini在默认安装情况下不存在,在此无法得知具体需要屏蔽的进程,但是通过分析代码可以得知此字段为一个由“;”分割的一个进程列表。扣扣保镖将拦截此列表中所有文件名相同的进程的启动。

前因后果和最新情况请点击进入QQ/360专题报道 》》

以下为QQ启动程序屏蔽列表部分代码

以下为:扣扣保镖QGuard.dll屏蔽列表读取代码

除此之外还会在%AppData%的配置文件UserConfig.ini中读取component字段,其中每一项镜像名其后的0和1为进程屏蔽开关。

%AppData%360QGuardUserConfig.ini内容如下:

[component]

=0|1

隐藏功能三:激活后对QQ软件的浏览器进行劫持

该功能激活后,QQ
进程启动的浏览器进程将被替换成启动360SE来进行浏览。由于该功能是拦截
API实现,所以无论用户设置的默认浏览是什么,也不论腾讯QQ当前选用哪个浏览器都将被劫持成360SE(附:该隐藏功能不单可以劫持TTraveler.exe,QQBrowser.exe,还能根据升级的配置随时指定劫持的浏览器进程名。)

这样QQ软件用户聊天时带的所有URL链接的浏览量将都被360SE获取。

扣扣保镖QGuard.dll拦截程序,发现QQ
IM启动的程序为腾讯的浏览器(TTraveler.exe和QQBrowser.exe),且Config.ini文件内容中有DisableBrowser=1,则将QQ
IM启动的浏览器自动替换为360的浏览器。

除此之外,通过最后一行Call
InitComponent读取位于%AppData%的配置文件UserConfig.ini中的component项是否有指定名称的镜像名,如果发现也将替换为360的浏览器。

隐藏功能四:激活后欺骗用户对QQ软件进行备份

该隐藏功能激活后,将根据360投送的Config.ini里配置的参数引导用户备份QQ软件到360指定目录,并可通过扣扣保镖进行恢复。

在config.ini里填入以上内容,在启动QQ时会出现以下对话框。

在这里可以禁用QQ的自动更新功能。备份按钮会将QQ的全部数据备份到360的配置目录。如下图:

分析总结:

由于360扣扣保镖的这4个隐藏功能针对性极强并具有:

1、在不被用户知情的情况下进行破坏其它软件正常运行的流氓软件特性。

2、绕开用户控制隐蔽触发的后门功能特性。

3、注入其它进程,修改其正常功能运行方式的外挂特性。

而这些技术手段通常只在木马、后门、病毒这类恶意软件上见到,在一款“以安全为名”的软件上出现并针对正常软件使用是极为罕见的。这也可以很好地理解为什么360让它如此短命,腾讯为什么如此愤怒。

从百度百科中查出一些公众认知的定义:

外挂:外挂一般是指在电脑运行中,一个程序通过某种事件触发而得以挂接到另外一个程序的空间里(常用的触发事件有键盘触发,鼠标触发,消息触发等),挂接的目的通常是想改变被挂接程序的运行方式。

后门功能:指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的方法。

流氓软件新发展:新的流氓软件可能并没有捆绑插件,新的流氓行为包括故意妨碍其他同类软件的使用,新的流氓行为包括把自己的流氓行为说成是BUG或者好功能,以此来掩盖自己肮脏的目的,新的流氓都精通心理学,把用户的心理研究的透透彻彻,并利用这种心理来做利于自己的事情。

前因后果和最新情况请点击进入QQ/360专题报道 》》

标签:, , , , ,

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图