|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
前几天我们转发的一篇网友的文章《诺顿误杀 微软系统窃取我国机密?》,网友反应强烈。今天偶然又发现另外一篇,从另外一个侧面说明了我们的系统不安全。是真是假,我还没有进行试验。先转过来给大家看。 " U# N- {+ T$ m, p% z% `- L
4 D/ S$ z- c3 [$ j. W# h" [ 和世界上许多人一样,当我看到微软发布最新版的IE7时,毫不犹豫的选择了安装。虽然我曾经是一名忠实的Firefox拥护者,但作为一名开发者的总是喜欢尝试各种不同类型的技术。这就是为什么我对安装IE7感兴趣的原因。 & s* l# n% F; O5 P: r+ e
/ w* q% x2 W8 x2 l7 p 在继续IE的安装过程中,软件要求对Windows进行正版验证,当时唯一的感觉就是无语,继而无奈并接受现实。 # o, h1 K8 F! K5 ~& T& i2 r
, h$ j% R, \5 P5 X# L( s8 G
因为许多关于WGA的丑闻依然在我脑海里记忆犹新,因此我非常好奇微软到底对我的Windows系统进行正版验证的时候都干了些什么呢? 7 w- Y* j3 T4 g$ S
P0 Y1 p/ v. \: M1 Q
于是从网上下载了2个软件:用于系统文件检测的filemon和注册表检测的regmon,通过这两个软件,我们可以看看该IE7安装程序到底都干了些什么。
8 T7 i8 m2 R8 q# F, M, d8 `0 X" S 7 ^) p3 @, z4 y1 ^# a) S
文件和注册表访问
% _3 E4 q7 H, E' r" z8 C. ~# \/ d8 m# x. G* X, ?) t% n }0 O( X) \" U( s5 Y& M) v
在检测过程中,安装程序进行正版验证时候的大多数访问都是一些相当常规的操作,但是有一些操作让我感到莫明其妙,甚至有的我个人认为根本就不干它们任何事!
' z+ I, I; }2 D* p k4 R3 {
8 K7 [* M, ?; {$ I& _$ | 文件访问 Z/ A& H9 h: m
) D: n; Q+ Q' b9 ]) a3 q4 }
就在进行文件访问的时候,一些古怪的事情发生了。第一个吸引我的注意力的就是,安装程序访问了C:\WINDOWS\system32\OEMInfo.ini中的信息。这个ini文件包含了我的系统制造商的所有信息。在我这里,我使用的是一套DELL的机子,而这个文件中包含了我的电脑的制造商、模块、service tag以及express service code。 & W$ I) O$ M2 o/ |! c; ?) @2 |
' S: {/ `4 o& s! {2 q: | 另一个非常有趣的文件就是C:\WINDOWS\system32\legitcheckcontrol.dll,这个文件频繁被进行读取。当我使用WinHex编辑器查看这个文件的时候,我发现一个关于硬件制造商的清单,还有一个网站地址:
! F2 R. P; a) N" u/ K http://stats.update.microsoft.com/reportingwebservice/reportingwebservice.asmx。我不敢确定是否该文件被用来向微软报告硬件使用信息。
" H1 Z% U; n5 g. \9 L- b2 g; j8 @8 E3 k. v5 Y/ U
在这个文件中,还嵌入了另外一些网站地址,其中大多数要求身份验证,但是,有两个地址相当可疑:
5 c! q7 d; D# E& o
) U, h9 I4 D) Z http://www.microsoft.com/SoftwareDistribution/Server/IMonitorable * V8 z3 Y+ V% K, [. C+ k
http://www.microsoft.com/SoftwareDistribution/ReportEventBatch 1 D g K0 Y/ A% `/ A/ Y
7 h. `$ e/ V" _& t9 h; A D
在IE安装过程验证过程中频繁引起注意的就是一个叫做ligitlibm.dll文件。在十六进制文件编辑器中,它显示出许多貌似针对程序员的代码。但是,真正吸引我目光的是一个网站地址: http://go.microsoft.com/fwlink/?LinkId=33171LegitCheckError=。同样,大家可以猜测到这个连接的目的是用于向微软报告信息。
! V5 w9 I) G& A' ?
) ]) H: }9 y6 y# o 在验证过程中,文件系统并不是唯一被检查和修改的,注册表同样产生了4216条读写信息报告!和文件系统访问一样,大多数操作是非常常规的,但是,还有一些检查的信息我认为非常不正常!
% Z; u# j! o# N" v' A
7 ^ S A0 O* H2 f 这是验证程序在注册表中所访问一些的项: & S9 M6 ~5 q+ i) A8 B/ K& R* t
+ { J( s1 d1 J Certificate Information + B9 u/ [& T1 s. h! F7 N$ Y) S- \
证书信息 1 O! y# c$ q n. T( C
机器的唯一ID + P, X3 a6 y. R% W
会话信息 * H# W: U8 e7 H' B5 s) o v
系统架构 0 [) O2 ^% f# U" s$ I; u
处理器种类和模型 + s3 H, I0 t: E* T9 D
伺服器
) i8 [3 i, N' r' C' n* V( _+ E( E 内部网域名
) G% O7 h% o% t% R2 P 机器名称 ) Q& {# ~2 R( G# ?% g
TCP/IP安装 ! Y% K, s+ h! z: q
8 [; E+ H) a- v0 c8 J
大家的情况我不知道,但是我认为这种验证方式所采集的信息有点过了,尤其是微软在验证软件中嵌入了许多指向微软站点的地址。
# [! M* U/ X9 o9 n9 @
7 K. a& w+ M) g4 L* X9 M 总结
5 S( w+ b$ W$ F- Q+ \ Y1 x5 t) u! G% g. {8 w0 n( j! I
在大家进行IE7安装过程中,屏幕的背后发生了许多你所不知道的事情。这个小小的实验希望能够引起大家的注意。不过,微软作为国际第一大软件公司,牵涉到千万人的利益,又怎么会做出窃取用户隐私的行为呢?我们在这里的这个实验,只是希望能给大家敲一个警钟,把计算机信息安全要时刻关注起来。
* x+ I2 H& \% R1 W$ H8 V( s
# y6 r- N! J: T4 X: T, B8 z; Y# T" j
(转自天网战线) |
|