|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
前几天我们转发的一篇网友的文章《诺顿误杀 微软系统窃取我国机密?》,网友反应强烈。今天偶然又发现另外一篇,从另外一个侧面说明了我们的系统不安全。是真是假,我还没有进行试验。先转过来给大家看。 : A( \. w$ G3 h' K
% Z3 E8 j S8 o5 J5 Q6 Z 和世界上许多人一样,当我看到微软发布最新版的IE7时,毫不犹豫的选择了安装。虽然我曾经是一名忠实的Firefox拥护者,但作为一名开发者的总是喜欢尝试各种不同类型的技术。这就是为什么我对安装IE7感兴趣的原因。
- O' b6 Q( I' n% }' i$ }! k/ Y9 o% a0 v1 r
在继续IE的安装过程中,软件要求对Windows进行正版验证,当时唯一的感觉就是无语,继而无奈并接受现实。
1 j6 d, F9 |7 {) n9 q; z& ?" }5 b9 i/ B# P
因为许多关于WGA的丑闻依然在我脑海里记忆犹新,因此我非常好奇微软到底对我的Windows系统进行正版验证的时候都干了些什么呢?
% }" t7 r8 v3 u+ G1 X3 ]& ?
" L5 y" @; z% B5 C: F- ` 于是从网上下载了2个软件:用于系统文件检测的filemon和注册表检测的regmon,通过这两个软件,我们可以看看该IE7安装程序到底都干了些什么。 ( E. o) i- z" F
4 d8 W9 _* V( l8 B: z9 S
文件和注册表访问
' q3 S' `" [" w, ?$ e8 p8 i; s, G e# k/ h; s3 e3 }
在检测过程中,安装程序进行正版验证时候的大多数访问都是一些相当常规的操作,但是有一些操作让我感到莫明其妙,甚至有的我个人认为根本就不干它们任何事! % a/ o1 \1 k J a
1 ^6 T9 N J2 o/ @ 文件访问
' k1 Z4 @+ ^$ D1 w0 O$ `6 z0 `2 Q# m7 S z$ Y- p
就在进行文件访问的时候,一些古怪的事情发生了。第一个吸引我的注意力的就是,安装程序访问了C:\WINDOWS\system32\OEMInfo.ini中的信息。这个ini文件包含了我的系统制造商的所有信息。在我这里,我使用的是一套DELL的机子,而这个文件中包含了我的电脑的制造商、模块、service tag以及express service code。
3 I& I" U; L3 u5 N0 V5 R \& Y
* q0 u5 s5 V5 j- j) u 另一个非常有趣的文件就是C:\WINDOWS\system32\legitcheckcontrol.dll,这个文件频繁被进行读取。当我使用WinHex编辑器查看这个文件的时候,我发现一个关于硬件制造商的清单,还有一个网站地址:
% k" p7 J! R' y) g http://stats.update.microsoft.com/reportingwebservice/reportingwebservice.asmx。我不敢确定是否该文件被用来向微软报告硬件使用信息。
- M4 e! U3 j7 ?, O7 n0 n$ X
) S8 E1 Z2 n$ d" A1 J) C, l5 M 在这个文件中,还嵌入了另外一些网站地址,其中大多数要求身份验证,但是,有两个地址相当可疑:
/ t, b- |' i# a" i
1 u. |( ~: t: H6 c http://www.microsoft.com/SoftwareDistribution/Server/IMonitorable , Z @7 l' `5 Z5 D1 h+ H+ _
http://www.microsoft.com/SoftwareDistribution/ReportEventBatch
* ^4 O7 A0 I- F* N: b7 C: L
9 P7 o% ^( W$ H; h9 B3 O" r0 @ 在IE安装过程验证过程中频繁引起注意的就是一个叫做ligitlibm.dll文件。在十六进制文件编辑器中,它显示出许多貌似针对程序员的代码。但是,真正吸引我目光的是一个网站地址: http://go.microsoft.com/fwlink/?LinkId=33171LegitCheckError=。同样,大家可以猜测到这个连接的目的是用于向微软报告信息。
, b2 i" u* B2 m0 b" c- Y! p4 Y5 F3 T7 S) m2 m" E+ p
在验证过程中,文件系统并不是唯一被检查和修改的,注册表同样产生了4216条读写信息报告!和文件系统访问一样,大多数操作是非常常规的,但是,还有一些检查的信息我认为非常不正常!
6 G2 T* x" g4 e7 h7 v( c/ q: o- \( s$ m% g9 T# S
这是验证程序在注册表中所访问一些的项:
$ X3 n; y6 m, B" d+ M
* s- B& r1 N' V! H/ t Certificate Information ( e2 F* j; S% e; Q5 p" g
证书信息
; |- F" H0 X. i" P; M" X 机器的唯一ID 5 L" Z; _/ s1 Z' ~# S6 h
会话信息 : @% A) X6 I( L' l7 T+ c* i1 W4 r; q
系统架构 3 R, y, o N N! \
处理器种类和模型
2 w4 f4 O3 x2 S2 ? 伺服器
$ l9 c) B# b' X" b$ M" L3 g 内部网域名
9 i z, X2 |* d2 q) s2 n 机器名称 6 \7 a3 L" g# R+ l
TCP/IP安装 ; D U6 {. _( W: T$ A( ^% h
" f( j) S* l- D# I1 O$ s6 k
大家的情况我不知道,但是我认为这种验证方式所采集的信息有点过了,尤其是微软在验证软件中嵌入了许多指向微软站点的地址。 4 U( E9 l P, r; c
9 z* C' e2 _7 I1 @1 W5 g7 b" w 总结
, E- N( J4 v: j, G1 ~$ c' D: x8 k5 q
2 ?! m G! m$ Y3 ]9 Y; s 在大家进行IE7安装过程中,屏幕的背后发生了许多你所不知道的事情。这个小小的实验希望能够引起大家的注意。不过,微软作为国际第一大软件公司,牵涉到千万人的利益,又怎么会做出窃取用户隐私的行为呢?我们在这里的这个实验,只是希望能给大家敲一个警钟,把计算机信息安全要时刻关注起来。5 u- c5 J% @9 O+ H
7 ?( O9 J" i; L- v
- e; x9 G5 B5 l; t9 Y(转自天网战线) |
|