|
|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
前几天我们转发的一篇网友的文章《诺顿误杀 微软系统窃取我国机密?》,网友反应强烈。今天偶然又发现另外一篇,从另外一个侧面说明了我们的系统不安全。是真是假,我还没有进行试验。先转过来给大家看。
) K% Q7 W/ z# [( g& @
# }5 N6 K9 S, o, q# G 和世界上许多人一样,当我看到微软发布最新版的IE7时,毫不犹豫的选择了安装。虽然我曾经是一名忠实的Firefox拥护者,但作为一名开发者的总是喜欢尝试各种不同类型的技术。这就是为什么我对安装IE7感兴趣的原因。
! ^2 r1 c4 H" a" `
$ v; f0 z/ O+ Y7 l7 e 在继续IE的安装过程中,软件要求对Windows进行正版验证,当时唯一的感觉就是无语,继而无奈并接受现实。 5 _. [- a+ v. w% _* d( j- f" K( F
$ g/ J7 S G) P3 ]6 Q8 P 因为许多关于WGA的丑闻依然在我脑海里记忆犹新,因此我非常好奇微软到底对我的Windows系统进行正版验证的时候都干了些什么呢?
5 x* {8 M! i1 t5 ^2 @5 z5 |% a" i) {" F* W
于是从网上下载了2个软件:用于系统文件检测的filemon和注册表检测的regmon,通过这两个软件,我们可以看看该IE7安装程序到底都干了些什么。 ; S0 C7 l5 N0 M- V
' r T- h3 f0 k 文件和注册表访问
# s5 t6 |8 D/ Z% L
0 I9 Y" u7 u% G! F 在检测过程中,安装程序进行正版验证时候的大多数访问都是一些相当常规的操作,但是有一些操作让我感到莫明其妙,甚至有的我个人认为根本就不干它们任何事! 0 R; {3 M- n! L2 e4 r$ {
6 l" a( q3 z3 ~$ K1 B 文件访问
$ I- H( X$ ?7 C$ k: c: c0 B
! b) b5 c d8 o 就在进行文件访问的时候,一些古怪的事情发生了。第一个吸引我的注意力的就是,安装程序访问了C:\WINDOWS\system32\OEMInfo.ini中的信息。这个ini文件包含了我的系统制造商的所有信息。在我这里,我使用的是一套DELL的机子,而这个文件中包含了我的电脑的制造商、模块、service tag以及express service code。
3 I3 b+ E) p1 a0 b( o. w' D! {
; D4 X' G( Y! a+ H6 l 另一个非常有趣的文件就是C:\WINDOWS\system32\legitcheckcontrol.dll,这个文件频繁被进行读取。当我使用WinHex编辑器查看这个文件的时候,我发现一个关于硬件制造商的清单,还有一个网站地址:
( X! [% E, w- a) _9 @: G5 U http://stats.update.microsoft.com/reportingwebservice/reportingwebservice.asmx。我不敢确定是否该文件被用来向微软报告硬件使用信息。& L: ~" B) P, [
, R1 L! ]' |0 F; F4 @3 f4 F3 \ 在这个文件中,还嵌入了另外一些网站地址,其中大多数要求身份验证,但是,有两个地址相当可疑:
W: d! i0 m( q
( X' o7 q/ }0 q& j http://www.microsoft.com/SoftwareDistribution/Server/IMonitorable ' H' s9 x O* o+ r% ?
http://www.microsoft.com/SoftwareDistribution/ReportEventBatch
5 z5 U6 \0 s8 m1 v4 b8 e
* K' F1 A4 ?3 j0 V 在IE安装过程验证过程中频繁引起注意的就是一个叫做ligitlibm.dll文件。在十六进制文件编辑器中,它显示出许多貌似针对程序员的代码。但是,真正吸引我目光的是一个网站地址: http://go.microsoft.com/fwlink/?LinkId=33171LegitCheckError=。同样,大家可以猜测到这个连接的目的是用于向微软报告信息。
' l& K, e5 A' B0 S6 _4 ~" Z! l, U) h( x' V( r0 z) q+ M& Q& d, s
在验证过程中,文件系统并不是唯一被检查和修改的,注册表同样产生了4216条读写信息报告!和文件系统访问一样,大多数操作是非常常规的,但是,还有一些检查的信息我认为非常不正常!
6 X- @% \$ i: J4 l& L! ^( y
7 V1 @# c: V) |3 `+ |3 i5 y2 r 这是验证程序在注册表中所访问一些的项: : \/ C- u& C- h$ e) `
* T0 c" M# Z+ A1 W Certificate Information
2 k6 g+ I3 Q( l: |, p4 g# }% | 证书信息
7 j8 O; E/ k3 o2 Q) S 机器的唯一ID
% D( I" L/ ?/ C1 P; A- l0 M 会话信息 " t# w2 t! \" n; U
系统架构 ) R$ v1 N3 A" p( q5 C
处理器种类和模型 * P7 T& n6 E" [2 _/ j R+ \
伺服器 ) q- k2 h8 p4 U0 [: G5 l
内部网域名 , \" Z" f$ f3 ?, G7 {2 `- x
机器名称 # M2 T6 n3 N: Q( s7 A) q+ m
TCP/IP安装
! N/ E7 C+ f+ e$ T; Z, f% E, B' m, S' _
大家的情况我不知道,但是我认为这种验证方式所采集的信息有点过了,尤其是微软在验证软件中嵌入了许多指向微软站点的地址。
! x0 V' G! M( x5 r Y! B
# @) u! I9 L: X3 S& p- K 总结
8 j6 d: a# X! h" N w6 g+ N5 R7 ] b3 I7 ?6 d- T1 k
在大家进行IE7安装过程中,屏幕的背后发生了许多你所不知道的事情。这个小小的实验希望能够引起大家的注意。不过,微软作为国际第一大软件公司,牵涉到千万人的利益,又怎么会做出窃取用户隐私的行为呢?我们在这里的这个实验,只是希望能给大家敲一个警钟,把计算机信息安全要时刻关注起来。
8 J+ }% ]' j- a( s
% `0 f @$ H6 }& n0 m4 c3 q1 Y8 A% n# O* W% O" B* I9 ~6 h; _
(转自天网战线) |
|
发表于 2007-6-21 00:35:51
发表于 2007-6-21 20:08:23
发表于 2007-6-21 21:45:43
,我的电脑里有很多国家机密