|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
前几天我们转发的一篇网友的文章《诺顿误杀 微软系统窃取我国机密?》,网友反应强烈。今天偶然又发现另外一篇,从另外一个侧面说明了我们的系统不安全。是真是假,我还没有进行试验。先转过来给大家看。 ! y# C- u4 L) Z# c$ e" b- E7 k
* f4 S6 j+ N! p 和世界上许多人一样,当我看到微软发布最新版的IE7时,毫不犹豫的选择了安装。虽然我曾经是一名忠实的Firefox拥护者,但作为一名开发者的总是喜欢尝试各种不同类型的技术。这就是为什么我对安装IE7感兴趣的原因。
2 p# a- d3 N/ }5 J7 F+ j& ]/ g
/ \; t% ?( k( m9 b) h4 ? 在继续IE的安装过程中,软件要求对Windows进行正版验证,当时唯一的感觉就是无语,继而无奈并接受现实。 + ?( _% F$ Q k& U
2 O# r) }4 g# s 因为许多关于WGA的丑闻依然在我脑海里记忆犹新,因此我非常好奇微软到底对我的Windows系统进行正版验证的时候都干了些什么呢?
! g* G% c: Y' Z# B, z: }" r+ _1 c- X/ @
于是从网上下载了2个软件:用于系统文件检测的filemon和注册表检测的regmon,通过这两个软件,我们可以看看该IE7安装程序到底都干了些什么。
5 e" S f M8 t/ A
' W, Q0 V- y, a0 ~0 D2 u3 @ 文件和注册表访问
5 Q1 w# u+ P7 x0 l* J& t. V+ `% \' M: A. {* b
在检测过程中,安装程序进行正版验证时候的大多数访问都是一些相当常规的操作,但是有一些操作让我感到莫明其妙,甚至有的我个人认为根本就不干它们任何事! ) M2 j) l5 t; W* i4 b7 ~
$ U0 G8 g6 o! V; { 文件访问
9 j2 h- j. |4 \$ o6 o3 z( N, D3 P! W! u7 N9 N3 |
就在进行文件访问的时候,一些古怪的事情发生了。第一个吸引我的注意力的就是,安装程序访问了C:\WINDOWS\system32\OEMInfo.ini中的信息。这个ini文件包含了我的系统制造商的所有信息。在我这里,我使用的是一套DELL的机子,而这个文件中包含了我的电脑的制造商、模块、service tag以及express service code。 # y7 E! n. q( i( _2 Q* I; M- X" K0 g
) |! Z) m+ \2 e1 f% z! C1 g! Z
另一个非常有趣的文件就是C:\WINDOWS\system32\legitcheckcontrol.dll,这个文件频繁被进行读取。当我使用WinHex编辑器查看这个文件的时候,我发现一个关于硬件制造商的清单,还有一个网站地址:) D( K* O/ f. C3 x! ^( Z
http://stats.update.microsoft.com/reportingwebservice/reportingwebservice.asmx。我不敢确定是否该文件被用来向微软报告硬件使用信息。' P" q; V$ W/ N& e6 _
; N0 ^( m# M( a: p
在这个文件中,还嵌入了另外一些网站地址,其中大多数要求身份验证,但是,有两个地址相当可疑:
( @, e/ j( l8 \9 K
% l) [, M' ?# K U( y( \. W- [& P http://www.microsoft.com/SoftwareDistribution/Server/IMonitorable
, Q* G& x1 ~3 I# S" k http://www.microsoft.com/SoftwareDistribution/ReportEventBatch
1 B0 M Z0 R) F; [5 }% }: | L7 }1 x5 S1 m/ X9 s4 a
在IE安装过程验证过程中频繁引起注意的就是一个叫做ligitlibm.dll文件。在十六进制文件编辑器中,它显示出许多貌似针对程序员的代码。但是,真正吸引我目光的是一个网站地址: http://go.microsoft.com/fwlink/?LinkId=33171LegitCheckError=。同样,大家可以猜测到这个连接的目的是用于向微软报告信息。 j1 b7 m Q& s9 S. Z4 ]- J: k
0 v3 O. R& v+ ? 在验证过程中,文件系统并不是唯一被检查和修改的,注册表同样产生了4216条读写信息报告!和文件系统访问一样,大多数操作是非常常规的,但是,还有一些检查的信息我认为非常不正常! , @4 c% c+ f( V0 T$ y0 k
! g1 n0 } l J 这是验证程序在注册表中所访问一些的项: $ Z* `+ M) T( m: z# y* A4 U
% B- u+ r' u! u- G6 c Certificate Information
! ], X# m% b7 T( ]- x 证书信息 T0 o8 n. I9 `2 G6 W$ ?
机器的唯一ID
( a' t1 K2 {7 U9 H1 c. @0 l& \ 会话信息 - k& f3 m) M$ r1 f! _# P- ?
系统架构
* S# l) I8 l7 i: ]# {/ E 处理器种类和模型 ' |+ N* F, {2 e+ Q: \
伺服器 9 Q- C* _2 R; _: H6 m% S
内部网域名 + W0 `: V! l/ b' X# z- Z
机器名称
) k# E: a) j3 ]3 t; V; J! B2 S TCP/IP安装
0 O' P9 T8 _( Y8 N4 l4 f; y7 Q$ W) O1 l
大家的情况我不知道,但是我认为这种验证方式所采集的信息有点过了,尤其是微软在验证软件中嵌入了许多指向微软站点的地址。 ! ~; X3 l+ |* ^2 r' K. @+ r
: s# }2 ]1 G: l; c
总结
; D* l0 R. n; |' P+ J% }* g
2 \8 a8 p1 O" E. S7 o 在大家进行IE7安装过程中,屏幕的背后发生了许多你所不知道的事情。这个小小的实验希望能够引起大家的注意。不过,微软作为国际第一大软件公司,牵涉到千万人的利益,又怎么会做出窃取用户隐私的行为呢?我们在这里的这个实验,只是希望能给大家敲一个警钟,把计算机信息安全要时刻关注起来。
& g* X4 O: g5 R
0 W. X" k& l# _ C. ^$ b! |" d' P( k5 t- A: ^; n
(转自天网战线) |
|