|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
前几天我们转发的一篇网友的文章《诺顿误杀 微软系统窃取我国机密?》,网友反应强烈。今天偶然又发现另外一篇,从另外一个侧面说明了我们的系统不安全。是真是假,我还没有进行试验。先转过来给大家看。
7 e. o4 w& o% j5 d/ j/ E' T
5 _. ^( m+ {$ }7 Q$ d# ] 和世界上许多人一样,当我看到微软发布最新版的IE7时,毫不犹豫的选择了安装。虽然我曾经是一名忠实的Firefox拥护者,但作为一名开发者的总是喜欢尝试各种不同类型的技术。这就是为什么我对安装IE7感兴趣的原因。
' [3 d8 t. I. f O! P ]( O. K T( \+ p) |
在继续IE的安装过程中,软件要求对Windows进行正版验证,当时唯一的感觉就是无语,继而无奈并接受现实。 7 o' L. I' a4 o6 X$ W
/ Y2 g5 R6 ~7 w% y+ A
因为许多关于WGA的丑闻依然在我脑海里记忆犹新,因此我非常好奇微软到底对我的Windows系统进行正版验证的时候都干了些什么呢? $ ]& L2 g4 m% e( P7 X
9 ~9 `! X( `. S* Z. D. U
于是从网上下载了2个软件:用于系统文件检测的filemon和注册表检测的regmon,通过这两个软件,我们可以看看该IE7安装程序到底都干了些什么。 # f+ e" L4 o: Z& Z* D" T+ D3 ~' `: Y+ {
* L- A3 l6 G! Q$ I! i3 q
文件和注册表访问
- x- S2 }9 ^1 J* k! Q; ?" E% e6 u& a; F& J$ H) a) K
在检测过程中,安装程序进行正版验证时候的大多数访问都是一些相当常规的操作,但是有一些操作让我感到莫明其妙,甚至有的我个人认为根本就不干它们任何事! 3 _3 F* D$ x( ~) o# V: @
; H6 i( ~: P$ h; z 文件访问 & z3 ?; D( L7 F* _9 q: z7 Q; ~
- X* A5 E+ }& \$ l% U, [3 @- x 就在进行文件访问的时候,一些古怪的事情发生了。第一个吸引我的注意力的就是,安装程序访问了C:\WINDOWS\system32\OEMInfo.ini中的信息。这个ini文件包含了我的系统制造商的所有信息。在我这里,我使用的是一套DELL的机子,而这个文件中包含了我的电脑的制造商、模块、service tag以及express service code。
M& ?* L: Z7 D. d; `
2 V& w3 z5 E B$ Y; H& u5 A 另一个非常有趣的文件就是C:\WINDOWS\system32\legitcheckcontrol.dll,这个文件频繁被进行读取。当我使用WinHex编辑器查看这个文件的时候,我发现一个关于硬件制造商的清单,还有一个网站地址:/ P* R p1 n1 q9 [9 j
http://stats.update.microsoft.com/reportingwebservice/reportingwebservice.asmx。我不敢确定是否该文件被用来向微软报告硬件使用信息。
4 ^: x' c L% w, @* P
- @8 o. h$ ^' j- t _- A" g- ` 在这个文件中,还嵌入了另外一些网站地址,其中大多数要求身份验证,但是,有两个地址相当可疑:
4 U7 R$ q3 I( a; A' S) n. H/ Q# }, F9 B! ^ V# U
http://www.microsoft.com/SoftwareDistribution/Server/IMonitorable 5 l$ S- O+ K% _, y- k6 q! ?8 e1 b
http://www.microsoft.com/SoftwareDistribution/ReportEventBatch $ L3 C& \& ]2 [( C+ o
2 z. N0 P5 _2 `8 I/ W& ]4 v8 L% x 在IE安装过程验证过程中频繁引起注意的就是一个叫做ligitlibm.dll文件。在十六进制文件编辑器中,它显示出许多貌似针对程序员的代码。但是,真正吸引我目光的是一个网站地址: http://go.microsoft.com/fwlink/?LinkId=33171LegitCheckError=。同样,大家可以猜测到这个连接的目的是用于向微软报告信息。
[0 d, |% ~: M3 Z* Y& w4 u z3 B, {' I
在验证过程中,文件系统并不是唯一被检查和修改的,注册表同样产生了4216条读写信息报告!和文件系统访问一样,大多数操作是非常常规的,但是,还有一些检查的信息我认为非常不正常!
6 u4 z0 e4 t* b7 W0 c7 \
+ {& ?! H9 x" {: F+ ]0 x) P$ x2 [ 这是验证程序在注册表中所访问一些的项:
, O5 u3 n' D, G
/ X4 f* j' t% y8 Q6 } Certificate Information ' T( ^: `2 c$ Z7 L# K$ e
证书信息 ' e7 f) r8 L! z, N% Z2 ~* E( K
机器的唯一ID
; d& [+ k+ E0 ^4 c u 会话信息
/ p5 J- f* ^2 [, I 系统架构 8 v; S& B5 j( O0 b5 L1 N4 @4 L
处理器种类和模型 2 ?% B0 p4 C9 w# N) b2 d- J
伺服器 1 L6 J2 \1 x2 d+ M8 d: D' f
内部网域名
3 Q/ y6 T" O, F3 W8 E 机器名称 ! z p: i8 V2 w% O8 D) V6 i
TCP/IP安装
6 e$ q% A' c% u: f3 H& Q
; d2 o$ G) `5 p% d 大家的情况我不知道,但是我认为这种验证方式所采集的信息有点过了,尤其是微软在验证软件中嵌入了许多指向微软站点的地址。
% [4 Z0 _9 g( P3 n) @3 z J9 V) b+ y1 H4 c4 f
总结 1 |2 A/ P. e6 B) x+ L9 i6 ~0 g8 X
3 e6 m+ N8 z7 ?) M
在大家进行IE7安装过程中,屏幕的背后发生了许多你所不知道的事情。这个小小的实验希望能够引起大家的注意。不过,微软作为国际第一大软件公司,牵涉到千万人的利益,又怎么会做出窃取用户隐私的行为呢?我们在这里的这个实验,只是希望能给大家敲一个警钟,把计算机信息安全要时刻关注起来。
$ E; ^3 v T+ [+ Y: e
+ B( c! M% n: o# y" p7 _2 w$ R J* T' t1 F4 y' L( i' r3 \
(转自天网战线) |
|