|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
前几天我们转发的一篇网友的文章《诺顿误杀 微软系统窃取我国机密?》,网友反应强烈。今天偶然又发现另外一篇,从另外一个侧面说明了我们的系统不安全。是真是假,我还没有进行试验。先转过来给大家看。
3 n6 E& o0 o& Z2 Q/ Z( o
7 w, w \: j E$ K 和世界上许多人一样,当我看到微软发布最新版的IE7时,毫不犹豫的选择了安装。虽然我曾经是一名忠实的Firefox拥护者,但作为一名开发者的总是喜欢尝试各种不同类型的技术。这就是为什么我对安装IE7感兴趣的原因。 & o0 A+ c8 {# w g# K. ^( y* O1 l/ t
$ @7 x/ u" I( f: G6 X 在继续IE的安装过程中,软件要求对Windows进行正版验证,当时唯一的感觉就是无语,继而无奈并接受现实。
; c3 O! H% W7 k3 T; I9 s/ a. O9 f1 V1 S. i
因为许多关于WGA的丑闻依然在我脑海里记忆犹新,因此我非常好奇微软到底对我的Windows系统进行正版验证的时候都干了些什么呢?
- ?3 I" I% B. G3 B
& [3 a) k9 l. a% p% e- D3 R 于是从网上下载了2个软件:用于系统文件检测的filemon和注册表检测的regmon,通过这两个软件,我们可以看看该IE7安装程序到底都干了些什么。 % F3 A( _0 r: {% H" y- F) k
B9 p l5 p7 M+ J; Z B! ^3 r) ^ 文件和注册表访问
, u* z2 d9 m# E5 u; ]& E/ N; {. y) W% c s4 a* f: R9 I
在检测过程中,安装程序进行正版验证时候的大多数访问都是一些相当常规的操作,但是有一些操作让我感到莫明其妙,甚至有的我个人认为根本就不干它们任何事!
. k, B+ h+ N/ P5 Y3 x8 P
4 a+ h3 S9 y, h 文件访问 ! v( {# l$ N2 |
/ b8 x7 u' @% r3 E9 p' F
就在进行文件访问的时候,一些古怪的事情发生了。第一个吸引我的注意力的就是,安装程序访问了C:\WINDOWS\system32\OEMInfo.ini中的信息。这个ini文件包含了我的系统制造商的所有信息。在我这里,我使用的是一套DELL的机子,而这个文件中包含了我的电脑的制造商、模块、service tag以及express service code。 ( {, R" Q6 t U9 A; D T+ T
: s9 ~$ c0 [1 ?1 U1 ~ 另一个非常有趣的文件就是C:\WINDOWS\system32\legitcheckcontrol.dll,这个文件频繁被进行读取。当我使用WinHex编辑器查看这个文件的时候,我发现一个关于硬件制造商的清单,还有一个网站地址:- i R' F3 k& Y. r
http://stats.update.microsoft.com/reportingwebservice/reportingwebservice.asmx。我不敢确定是否该文件被用来向微软报告硬件使用信息。
) Z1 s" h7 `( m2 ~9 q* W( d: M
+ {4 h" s! A& y3 i# ]4 o$ D# ^( j 在这个文件中,还嵌入了另外一些网站地址,其中大多数要求身份验证,但是,有两个地址相当可疑: " ~2 |3 T1 U( }6 `
7 A* G" |5 [* Q& v3 [/ w http://www.microsoft.com/SoftwareDistribution/Server/IMonitorable . }/ N ?7 N8 J! I2 v
http://www.microsoft.com/SoftwareDistribution/ReportEventBatch / \) l5 b d, G# @
. D+ T6 n4 x( G9 V( }
在IE安装过程验证过程中频繁引起注意的就是一个叫做ligitlibm.dll文件。在十六进制文件编辑器中,它显示出许多貌似针对程序员的代码。但是,真正吸引我目光的是一个网站地址: http://go.microsoft.com/fwlink/?LinkId=33171LegitCheckError=。同样,大家可以猜测到这个连接的目的是用于向微软报告信息。 " Z& J( c( z! i
/ k' A& N6 K+ F0 P3 D) E9 _
在验证过程中,文件系统并不是唯一被检查和修改的,注册表同样产生了4216条读写信息报告!和文件系统访问一样,大多数操作是非常常规的,但是,还有一些检查的信息我认为非常不正常!
7 X4 M" O- U$ l5 ~4 A N3 {9 N$ G+ Z
这是验证程序在注册表中所访问一些的项: ; {+ r( S$ y+ |: |8 j. ?
s. M+ a* R% k z0 X9 t
Certificate Information 2 }& h3 ~$ n5 X \4 W3 M
证书信息 ) H. \& P1 H' g9 C
机器的唯一ID
1 |1 s4 g a% k. a* S7 S 会话信息
( C) {( i9 h' _4 y0 U 系统架构
5 [( Z% A6 ]; }( h 处理器种类和模型
7 M" c4 j( Y3 s+ ~& `/ R 伺服器
- M- b5 g5 c; i1 `0 F# N 内部网域名 ' W$ k: H9 k4 Z, u. C+ A. J6 g
机器名称
8 L, e5 A" u# @" W0 ?0 e5 y z TCP/IP安装
: Y3 Z* M3 X5 U* `' Q3 i
; i' ^6 F1 e/ m0 G; k2 Y8 p 大家的情况我不知道,但是我认为这种验证方式所采集的信息有点过了,尤其是微软在验证软件中嵌入了许多指向微软站点的地址。 0 X! D" N+ D+ L
8 \* F+ X% e6 l5 c; n 总结 9 w& M$ R. x/ U0 m& r _4 g- H
) d1 I+ t7 `1 Y4 c! M/ U9 l) ] 在大家进行IE7安装过程中,屏幕的背后发生了许多你所不知道的事情。这个小小的实验希望能够引起大家的注意。不过,微软作为国际第一大软件公司,牵涉到千万人的利益,又怎么会做出窃取用户隐私的行为呢?我们在这里的这个实验,只是希望能给大家敲一个警钟,把计算机信息安全要时刻关注起来。
- e, [0 E8 a! q1 k7 z1 V/ k& k/ V; l; e! C$ [6 }' S" |
' m% z9 b0 d5 j k& x8 @* H
(转自天网战线) |
|