|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
前几天我们转发的一篇网友的文章《诺顿误杀 微软系统窃取我国机密?》,网友反应强烈。今天偶然又发现另外一篇,从另外一个侧面说明了我们的系统不安全。是真是假,我还没有进行试验。先转过来给大家看。 7 w$ L, e# H2 X
% e% h/ y# h- @9 u- q' J
和世界上许多人一样,当我看到微软发布最新版的IE7时,毫不犹豫的选择了安装。虽然我曾经是一名忠实的Firefox拥护者,但作为一名开发者的总是喜欢尝试各种不同类型的技术。这就是为什么我对安装IE7感兴趣的原因。
& `( u. O4 ?# S$ [0 y; c! I* S8 [7 `
在继续IE的安装过程中,软件要求对Windows进行正版验证,当时唯一的感觉就是无语,继而无奈并接受现实。 5 C! U5 t( k8 L" E! P
4 v6 i7 S" c8 N5 J& J1 J 因为许多关于WGA的丑闻依然在我脑海里记忆犹新,因此我非常好奇微软到底对我的Windows系统进行正版验证的时候都干了些什么呢? ! T ~/ G" f ]* h0 o
+ J: ~6 U" S1 ]
于是从网上下载了2个软件:用于系统文件检测的filemon和注册表检测的regmon,通过这两个软件,我们可以看看该IE7安装程序到底都干了些什么。 " [, r p/ x" Y( P s8 K/ Z" R
1 k; C; L: ^- d2 s9 l d! M4 Q6 s 文件和注册表访问
. L# L! ~3 M( b. ~, C/ h
. l/ r- m+ Y* m) v$ W: y 在检测过程中,安装程序进行正版验证时候的大多数访问都是一些相当常规的操作,但是有一些操作让我感到莫明其妙,甚至有的我个人认为根本就不干它们任何事! % H! l2 h( f( h. g+ `9 j/ B( l' N O
$ A; i$ C+ P F# j
文件访问 6 j' g" |. q( E4 d- E' j; h% m
; P3 q9 ^# N1 W' E! V; {: s3 o
就在进行文件访问的时候,一些古怪的事情发生了。第一个吸引我的注意力的就是,安装程序访问了C:\WINDOWS\system32\OEMInfo.ini中的信息。这个ini文件包含了我的系统制造商的所有信息。在我这里,我使用的是一套DELL的机子,而这个文件中包含了我的电脑的制造商、模块、service tag以及express service code。 & H' v& U. A( d7 D% R
V3 M( w: a2 Z4 F+ ?; C' l 另一个非常有趣的文件就是C:\WINDOWS\system32\legitcheckcontrol.dll,这个文件频繁被进行读取。当我使用WinHex编辑器查看这个文件的时候,我发现一个关于硬件制造商的清单,还有一个网站地址:
! O3 ^9 Z7 x" ~2 W& Q0 y" g http://stats.update.microsoft.com/reportingwebservice/reportingwebservice.asmx。我不敢确定是否该文件被用来向微软报告硬件使用信息。2 k4 d$ n& {& r0 z% |$ F+ m7 N8 }
! g: e; d0 b, i' e0 T
在这个文件中,还嵌入了另外一些网站地址,其中大多数要求身份验证,但是,有两个地址相当可疑: ; I/ O+ n2 I( G! R3 Z t
6 \! H' G: A, {0 b; E' i http://www.microsoft.com/SoftwareDistribution/Server/IMonitorable
% k# b8 F0 T4 v$ M6 h http://www.microsoft.com/SoftwareDistribution/ReportEventBatch
5 l7 F7 i2 C% K" y) g% X% |# e( ~5 }. G* i! P
在IE安装过程验证过程中频繁引起注意的就是一个叫做ligitlibm.dll文件。在十六进制文件编辑器中,它显示出许多貌似针对程序员的代码。但是,真正吸引我目光的是一个网站地址: http://go.microsoft.com/fwlink/?LinkId=33171LegitCheckError=。同样,大家可以猜测到这个连接的目的是用于向微软报告信息。
# U: y9 g6 b1 `' E2 \0 s9 @' ~8 B' d0 [( s; w; O7 X8 x6 a
在验证过程中,文件系统并不是唯一被检查和修改的,注册表同样产生了4216条读写信息报告!和文件系统访问一样,大多数操作是非常常规的,但是,还有一些检查的信息我认为非常不正常! , X0 Z, A6 S+ `3 r' l/ a
5 }" w0 u x; F5 O' T/ D3 B
这是验证程序在注册表中所访问一些的项: # k1 L1 Z7 d$ T& A$ U: K; k
& C. a; m% d1 h Certificate Information
: ]. j* L& Q: n+ x1 k 证书信息
, [* D: k) m! @1 X. p# K 机器的唯一ID
9 K$ z" p) y8 x# g7 L 会话信息
+ j" D* K+ |' R8 ^6 G 系统架构 3 J5 `( p; `# n" _- m
处理器种类和模型 , ~5 v9 H6 y% o
伺服器
/ W5 r7 a& o; B$ q 内部网域名
- R. E; K! s) Z' Z! X* [& ` 机器名称
& ]( i' W$ y9 D1 j& N. ? TCP/IP安装
9 \" ?" ?, z& Q6 X% {- ^" C
9 D. I& {" A2 n; w2 b; _5 O 大家的情况我不知道,但是我认为这种验证方式所采集的信息有点过了,尤其是微软在验证软件中嵌入了许多指向微软站点的地址。 8 G- _( x4 v% k/ a N
3 k) u0 o- {7 e' P! L
总结
: `. n# Y) d7 p B6 g' ~
" G# [& i A2 N% _/ z/ p3 J 在大家进行IE7安装过程中,屏幕的背后发生了许多你所不知道的事情。这个小小的实验希望能够引起大家的注意。不过,微软作为国际第一大软件公司,牵涉到千万人的利益,又怎么会做出窃取用户隐私的行为呢?我们在这里的这个实验,只是希望能给大家敲一个警钟,把计算机信息安全要时刻关注起来。
; u$ J4 q# F7 B6 p" g/ \3 D5 t2 d; t4 R& s7 O5 H
% y1 S+ W8 `2 v" W5 u; c( ~(转自天网战线) |
|