11月5日,据瑞星公布第三方研究申诉称,360扣扣卫兵除了拥有其宣称的11大类可见效力之外,至少还存在4个潜伏效力,这些效力仅针对QQ,且都具有用户不行见、不行抵制等特点。这些潜伏效力随时处于行动情况,并且可由360公司远程开放。
以下是申诉全文:
360扣扣卫兵缘何愤怒腾讯?
----瑞星第三方单独研究申诉(一)
2010年10月29日,360公司在京公布,推出一款名为“扣扣卫兵”的安全器材,周全扞卫QQ用户的安全。该器材包括防止秘籍泄漏、防止木马窃取QQ账号以及给QQ加快等效力。360称,扣扣卫兵默认不修正QQ任何设置,总共效力都必需由用户主动LUNA游戏评测采选触发,并可随时启用和恢复。
瑞星研发部门通过对扣扣卫兵(1.0.0.1004版本)紧要效力达成模块QGuard.dll进行解析:发掘该软件除了拥有其宣称的11大类可见效力之外,至少还存在4个潜伏效力,这些效力仅针对QQ,且都具有用户不行见、不行抵制等特点。这些潜伏效力随时处于行动情况,并且可由360公司远程开放。
扣扣卫兵4个潜伏效用精致分析
扣扣卫兵除了界面上的可见效用以外,还糊口生涯屏蔽QQ软件升级、威胁腾讯浏览器、屏蔽QQ启动的特定过程列表、备份并中兴QQ软件等4个潜伏的效用,它们均由Config.ini文件举行开关压制。经分析,该压制文件在扣扣卫兵装置包中并没有提供,装置后也不会主动生成,只也许由360 “云服务器”直接举行远程送达(或用户可以手动生成激活潜伏效用)。也即是说,用户对付这些潜伏效用均无法压制,并且不清晰其激活和收效情况。
技术细节:
用户应用扣扣卫兵(1.0.0.1004版本)时,它会把本身的首要。风雷游戏官方下载.效用模块QGuard.dll议决全局钩子格式注入腾讯QQ过程,并拦阻QQ过程的体系调用ShellExecuteExW和CreateProcessInternalW等,时期关注Config.ini文件(潜伏效用激活文件),一旦发明该文件糊口生涯,将依照文件内容举行联系潜伏效用的激活作为。
议决对现有的4个潜伏效用代码分析,我们可以揣摸Config.ini文件至少糊口生涯以下4种开关:
[Main]
DisableUpdate=1 //主动屏蔽QQ升级,导致用户不知情的情况下QQ软件无法升级。
DisableBrowser=1 //威胁QQ对浏览器的启动并取代为360”安定”浏览器。
Com=<过滤的过程文件名1>;<过滤的过程文件名2>;……
//主动屏蔽QQ启动指定镜像名例表的过程启动。
enable_repair=1 //打开备份QQ的参数:是否打开弹框诱导用户备份QQ软件
MaxNotifyCount = 50 //打开备份QQ的参数:最多弹框次数
FirstNotify=1 //打开备份QQ的参数: QQ启动后弹框的时间(秒)
以下为扣扣卫兵QGuard.dll 举行WINDOWS API 拦阻及API拦阻效用完成的联系代码
(本文地址:http://www.pgyjy.com/danjiyouxixiazai/201201/1770.html) | 