|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
前几天我们转发的一篇网友的文章《诺顿误杀 微软系统窃取我国机密?》,网友反应强烈。今天偶然又发现另外一篇,从另外一个侧面说明了我们的系统不安全。是真是假,我还没有进行试验。先转过来给大家看。 5 _2 {* B* T* l# V } v
5 c( v) J) b* q1 e8 B5 n( j& s
和世界上许多人一样,当我看到微软发布最新版的IE7时,毫不犹豫的选择了安装。虽然我曾经是一名忠实的Firefox拥护者,但作为一名开发者的总是喜欢尝试各种不同类型的技术。这就是为什么我对安装IE7感兴趣的原因。 7 V# T) F" F! _7 U+ ^6 Y. Z+ h
1 M7 _5 T2 i! S4 b' O8 h! ^ 在继续IE的安装过程中,软件要求对Windows进行正版验证,当时唯一的感觉就是无语,继而无奈并接受现实。 3 ~9 Z7 @) K5 B. ?
2 V$ E4 q% Q4 S
因为许多关于WGA的丑闻依然在我脑海里记忆犹新,因此我非常好奇微软到底对我的Windows系统进行正版验证的时候都干了些什么呢? ; z& K; \% Q8 W# j) a
0 ? S6 T F# K: x$ `
于是从网上下载了2个软件:用于系统文件检测的filemon和注册表检测的regmon,通过这两个软件,我们可以看看该IE7安装程序到底都干了些什么。 + h$ a K1 X6 B% g( q; _
6 S8 t+ N8 B+ V4 k
文件和注册表访问
5 v6 h2 v- O; i; r: S" M# B+ ~5 S8 F) T, D: `# f( h. H- U
在检测过程中,安装程序进行正版验证时候的大多数访问都是一些相当常规的操作,但是有一些操作让我感到莫明其妙,甚至有的我个人认为根本就不干它们任何事! , t7 B3 A! B, {8 ~
# E# ^) O7 b8 L( U7 K( q 文件访问 W* s5 C) X" Y4 H
: \ C* D: D9 O s+ R' {9 u 就在进行文件访问的时候,一些古怪的事情发生了。第一个吸引我的注意力的就是,安装程序访问了C:\WINDOWS\system32\OEMInfo.ini中的信息。这个ini文件包含了我的系统制造商的所有信息。在我这里,我使用的是一套DELL的机子,而这个文件中包含了我的电脑的制造商、模块、service tag以及express service code。
8 V m, }. r( q8 E. S& P; Y! t8 ^+ f4 \6 n* r
另一个非常有趣的文件就是C:\WINDOWS\system32\legitcheckcontrol.dll,这个文件频繁被进行读取。当我使用WinHex编辑器查看这个文件的时候,我发现一个关于硬件制造商的清单,还有一个网站地址:
. `$ b0 i: o0 m5 Y: j- p http://stats.update.microsoft.com/reportingwebservice/reportingwebservice.asmx。我不敢确定是否该文件被用来向微软报告硬件使用信息。
$ d" z7 ^) S# U& C5 k9 Y" @+ Y% T! h: \" u* N8 W0 ]
在这个文件中,还嵌入了另外一些网站地址,其中大多数要求身份验证,但是,有两个地址相当可疑: * \( R, J! s8 S G- x' k
% r) ^% e7 v8 \8 V3 P3 F http://www.microsoft.com/SoftwareDistribution/Server/IMonitorable
7 y3 n. k+ J& i4 i http://www.microsoft.com/SoftwareDistribution/ReportEventBatch / x: @* u' q/ j9 [* N
+ M% j0 `" I: w 在IE安装过程验证过程中频繁引起注意的就是一个叫做ligitlibm.dll文件。在十六进制文件编辑器中,它显示出许多貌似针对程序员的代码。但是,真正吸引我目光的是一个网站地址: http://go.microsoft.com/fwlink/?LinkId=33171LegitCheckError=。同样,大家可以猜测到这个连接的目的是用于向微软报告信息。 1 E0 }0 {4 _' D" F! \
2 L N, c; ]# m7 `* }% M" u. O) T
在验证过程中,文件系统并不是唯一被检查和修改的,注册表同样产生了4216条读写信息报告!和文件系统访问一样,大多数操作是非常常规的,但是,还有一些检查的信息我认为非常不正常! 8 E! _2 N4 y3 V
$ l6 x; `( |2 [2 s9 H: ~ 这是验证程序在注册表中所访问一些的项:
; D, Z: n D, |. z; Z7 c! U1 R/ u+ ~ a8 _7 d; ?# s8 {( @1 R
Certificate Information
; c1 L( i' A- Q+ J. N! v 证书信息
6 u" g% J0 s4 i0 } 机器的唯一ID
* Y8 \# j3 u' A0 s# U& T* W- C 会话信息 % K Z. W3 A( k+ O/ N. U! ]2 W
系统架构 * l- v# v1 O W' _
处理器种类和模型 2 B: ?) l# D: \
伺服器 9 I; _+ z$ l: u4 f$ g" K
内部网域名 - [& `7 `6 K* l) ^& M w7 d2 t
机器名称
) o- R8 x/ ~- t; C/ r3 Z TCP/IP安装 ! z- w1 _% O* l0 q3 u
* p% V7 x' x& k 大家的情况我不知道,但是我认为这种验证方式所采集的信息有点过了,尤其是微软在验证软件中嵌入了许多指向微软站点的地址。
1 g( [# u" E& ]' I4 y2 n. c9 ^% ]" `8 x
总结
5 B. N- P: c- w0 K- C
1 z' w% ^( _( L4 v9 S5 } 在大家进行IE7安装过程中,屏幕的背后发生了许多你所不知道的事情。这个小小的实验希望能够引起大家的注意。不过,微软作为国际第一大软件公司,牵涉到千万人的利益,又怎么会做出窃取用户隐私的行为呢?我们在这里的这个实验,只是希望能给大家敲一个警钟,把计算机信息安全要时刻关注起来。
) e2 @# ?( l7 a3 {
- T9 e1 \9 G, `$ G" I6 Y9 L' Q1 {, j
$ S* w- M: K; N% d! v$ m n(转自天网战线) |
|