|
|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
前几天我们转发的一篇网友的文章《诺顿误杀 微软系统窃取我国机密?》,网友反应强烈。今天偶然又发现另外一篇,从另外一个侧面说明了我们的系统不安全。是真是假,我还没有进行试验。先转过来给大家看。
~$ { a1 B) ]5 m& K$ O! D# E, x7 L i
和世界上许多人一样,当我看到微软发布最新版的IE7时,毫不犹豫的选择了安装。虽然我曾经是一名忠实的Firefox拥护者,但作为一名开发者的总是喜欢尝试各种不同类型的技术。这就是为什么我对安装IE7感兴趣的原因。 & F2 @+ @: ^# f, j2 x
5 P: s/ H2 Y. D4 v+ U- H 在继续IE的安装过程中,软件要求对Windows进行正版验证,当时唯一的感觉就是无语,继而无奈并接受现实。 6 m% Q; [' P9 D+ A
9 ?& V8 [( J) `- d1 V& j7 U9 M 因为许多关于WGA的丑闻依然在我脑海里记忆犹新,因此我非常好奇微软到底对我的Windows系统进行正版验证的时候都干了些什么呢? ( W! n& t/ S' _' m7 z) j3 f3 p9 \
9 I" N. H4 t( {1 t
于是从网上下载了2个软件:用于系统文件检测的filemon和注册表检测的regmon,通过这两个软件,我们可以看看该IE7安装程序到底都干了些什么。 4 o; u {" M3 T( ^ _1 A
9 }9 Z* i% G4 A
文件和注册表访问
; K7 C" C: _+ b" g/ l8 }( `
4 J0 u' u6 t* P6 s6 ]6 |) [ 在检测过程中,安装程序进行正版验证时候的大多数访问都是一些相当常规的操作,但是有一些操作让我感到莫明其妙,甚至有的我个人认为根本就不干它们任何事!
* g( e R. u2 r' z
# Q ]& ~5 h4 M, X5 H3 b& T [: `9 J 文件访问 ; G. c( K+ i Y; h1 W9 j2 ^. h
( ~. y. h& T7 S3 B 就在进行文件访问的时候,一些古怪的事情发生了。第一个吸引我的注意力的就是,安装程序访问了C:\WINDOWS\system32\OEMInfo.ini中的信息。这个ini文件包含了我的系统制造商的所有信息。在我这里,我使用的是一套DELL的机子,而这个文件中包含了我的电脑的制造商、模块、service tag以及express service code。
+ }5 t0 [' T+ w7 e+ O
" [* @6 {0 s% ~; Z3 x 另一个非常有趣的文件就是C:\WINDOWS\system32\legitcheckcontrol.dll,这个文件频繁被进行读取。当我使用WinHex编辑器查看这个文件的时候,我发现一个关于硬件制造商的清单,还有一个网站地址:
% y* X- P$ Y [ http://stats.update.microsoft.com/reportingwebservice/reportingwebservice.asmx。我不敢确定是否该文件被用来向微软报告硬件使用信息。4 ]. D0 F) n; y
; e" Y* ], V% ~ 在这个文件中,还嵌入了另外一些网站地址,其中大多数要求身份验证,但是,有两个地址相当可疑:
% L* G3 F/ h6 b' s! m% `/ p& F h
+ n9 P* r3 ^5 Z0 k# l$ S- f http://www.microsoft.com/SoftwareDistribution/Server/IMonitorable ( G @0 b2 n" f
http://www.microsoft.com/SoftwareDistribution/ReportEventBatch
' L) ^& C2 h' J% G9 n! n% o
. |: C \" Z* Q7 y 在IE安装过程验证过程中频繁引起注意的就是一个叫做ligitlibm.dll文件。在十六进制文件编辑器中,它显示出许多貌似针对程序员的代码。但是,真正吸引我目光的是一个网站地址: http://go.microsoft.com/fwlink/?LinkId=33171LegitCheckError=。同样,大家可以猜测到这个连接的目的是用于向微软报告信息。
1 G1 v- ?( l; k' o8 A$ Y3 D: G/ W* L( B( c: s6 {# w4 Z, G
在验证过程中,文件系统并不是唯一被检查和修改的,注册表同样产生了4216条读写信息报告!和文件系统访问一样,大多数操作是非常常规的,但是,还有一些检查的信息我认为非常不正常!
0 Z* A w. J$ p0 r5 j
, {" m: b2 u9 g) H6 y; W 这是验证程序在注册表中所访问一些的项:
% `% D% C+ v/ G7 W) c$ w! }5 I
$ }8 @+ N9 g3 i* n0 q Certificate Information
8 \' {7 o9 A" h8 }( P3 Q% V# v 证书信息
) f) q% x6 h( {6 ` 机器的唯一ID
' R( @, C) b2 M% W$ j3 h" F K 会话信息
: b9 x! ?# n! w, U4 t6 C# M 系统架构 ' Q' I0 M- d6 J8 m% P, G3 F( B
处理器种类和模型
" \# _/ [, Q; @( m: b1 U P; o' E 伺服器 1 l( `/ L7 _2 c1 }: X3 D1 v
内部网域名
' f) d( p) n& ~ 机器名称 ' e! A5 _" ]) S# T( W9 ^; h
TCP/IP安装 6 C: _0 Q" H! m
# I! {8 ?) r7 X! a' N' D' o: D
大家的情况我不知道,但是我认为这种验证方式所采集的信息有点过了,尤其是微软在验证软件中嵌入了许多指向微软站点的地址。
# M- @, o+ r) T1 p1 a. [: b
0 K: |$ o3 n0 E" O6 t5 C. y f 总结 4 f2 G3 p# W V( x5 a
: j; I) l) K# o
在大家进行IE7安装过程中,屏幕的背后发生了许多你所不知道的事情。这个小小的实验希望能够引起大家的注意。不过,微软作为国际第一大软件公司,牵涉到千万人的利益,又怎么会做出窃取用户隐私的行为呢?我们在这里的这个实验,只是希望能给大家敲一个警钟,把计算机信息安全要时刻关注起来。
) u- Q8 |- [" s. y
% f( g5 \, C) e% M a* _9 O1 d+ N, L7 R0 P3 Q- H8 Q
(转自天网战线) |
|
发表于 2007-6-21 00:35:51
发表于 2007-6-21 20:08:23
发表于 2007-6-21 21:45:43
,我的电脑里有很多国家机密