我很无奈,实在不知道应该如何写这篇东西,实在不知道应该以何身份写这篇东西。自从 360 在狂吠腾讯 QQ 盗取个人隐私开始,我就在我的 QQ 围脖上表示过,QQ 是安全的,有人叫 QQ 偷取隐私的问题在去年的某个时候也出现过,现在看来,那不过是某个无良公司(为什么无良,我会在下面尽可能的告诉看过这篇博文的朋友,很多东西并不是 360 标榜的,或者是和 360“优化”的那样)的阴谋的开始。
或许,有人会问,为什么要在标题中标上“QQ 其实不是‘病毒’”?这个就要从 360 通过一些媒体的炒作,指证 QQ 偷取各种各样的用户“隐私”说起。在国际计算机安全上的一般定义中,收集并非法使用用户的一些特定隐私信息(不包括你的帐号、密码)的,属于“间谍软件”——这在国内一般被叫做“恶意软件”(其实病毒也是恶意软件,所以,我不赞同这说法)。而 360 在说 QQ 还在访问网银文件的时候,言外之意也在传达着——你的网银账号和密码也会被 QQ 获取。那么,现在问题严重了,我想有一个问题是——各位,你在开着 QQ 的时候,输入你的网银账号、密码后,有发现什么异常吗?比如——非法的登录,账户资金减少等等,没有吧?好,这当然可能用做“有些人只盗不用”的口实。但是,你的财富通还是腾讯的呢?有些人还开通了一卡通,安全么?问题是,到现在为止,至少没有人公开表示和这两个相关的资金问题被恶意利用的问题——如果有,会有人按住不报吗?只是单纯的“扫描”内存文件都被炒成这样了。
好,既然我说的是“炒作”,有证据,有理由吗?有!我在写这篇博文的时候,也去 360 的网站逛了逛,发现“360 隐私保护开发团队”的开发博客中有针对腾讯的反驳提出了再反驳,我只能对腾讯的技术公关技能表示“太嫩了”,我国司法对于证据是“谁提出谁举证”的理念,但是,你举证的东西得要在这件事情上,合乎技术理念——如果打到官司上,至少要有 Microsoft Windows 的官方技术人员的介入,而不是“信产部”、“工商局”的行政部门的介入。为什么要有技术人员的介入,并且还是微软官方的?为了决定性的中立,以及权威化。当然,我只能是以“微软社区精英计划”的成员的身份来“喷”这件事。我先,接下来,就“360”和“腾讯”纠结的 5 个问题,以及广大无辜群众纠结的关键问题,做出以下的技术实验。
先说两个公司的纠结问题- 抹黑?
这个说实话,是公司间的问题,我不参与,是否抹黑,各位看完便知。 - 360隐私保护器监测到的QQ“窥私”行为是别人干的?
腾讯公司辩解说:“一些注入到QQ进程的输入法、网络流量监控软件等发生 CreatFile()的操作,碰上了上面它(指360隐私保护器)圈定的范围,360隐私保护器 都会把这些触碰算到QQ头上。”
这完全是腾讯的借口。
360隐私保护器确实是通过对进程监测实现隐私保护的。如果注入到QQ程序的输入法做了“坏事”,会把“坏事”算到QQ头上。但腾讯公司能否告诉广 大网民,目前爆出的大量QQ“窥私”行为,哪些是别人干的?哪些是QQ自己干的?
实际上,这些行为都是QQ自己干的。这个问题,我们就实用 IT 技术人员应当常用的 Process Monitor(进程监视器)来一窥究竟,这个工具可以在 Microsoft 的 TechNet 上下载到,所以“官方性质”不言而喻,如果你有兴趣,可以下载来看看(在监视过程中,比较吃系统资源,特别是你系统上的内存不大,且允许的程序的句柄很多的时候)。 具体的如何实验,请看下面的“技术实验”。
- 其实,第三、四、五和第二点在技术上是一个事情。
360 开发团队的某博文地址。
我们纠结的问题,不是在于 360 还是 QQ 那个说得正确,并且,这个事件在一开始,对于计算机安全、Windows 系统有深度了解的人,应该在无奈这个社会以及枪手的无良。如果 360 说的是真的,那么你的消息即便以最坏的打算去处理——你的密码被知道什么的,你为什么不去改银行密码什么的呢?而只是在网上瞎嚷嚷呢?如果,腾讯 QQ 偷取了信息,为什么那么多的杀毒软件,包括 360 杀毒没有把“QQ.exe”作为病毒或者威胁软件进行删除或隔离?这一点,作为“安全软件”(注意,带引号,360 的转生前的不光明的历史,估计以及在重演了,并且是变本加厉)厂商的奇虎软件旗下的“360 杀毒”并未做出此动作,却和自己的“隐私保护团队”的步调如此的不一致,可见里面的问题,并不像 360 宣称的如此严重——甚至是“欲加之罪,何患无辞”。
而,如果腾讯说的是真的,那么,360 还应该被相信吗?360 做出的种种“警告”还都是真的吗?何况“360 安全卫士”的误打补丁也给很多人造成过不小的问题,其实,“360 安全卫士”的“优化”把你的系统关掉了很多系统可以用的服务,你有可知道?说句实话,这种“关服务”的优化在小内存时代,单核时代还是有点必要的,但是现在动辄 2G 甚至 4G 以上的 64bit 系统,这类根本不必要——而你唯一要做的其实是支持正版的 Windows,盗版的 Windows 确实会做文件的替换造成你的系统不稳定。而“360 安全卫士”+“盗版 Windows”确实是很不错的“搭档”。或许,你现在对于这一点不为所动,那么,在这场 360 VS QQ 的事件中,到底攻击方(360)真话,还是反击方(腾讯)是真话呢?一起看实验——也是本文唯一的技术方面的地方了。
验证实验——实践是检验真理的唯一方法,但是,我们的检验必须全面化,不能为了自己的目的而不管其他不利于自己的一面,或者明知道他是有这个功能的,故意隐藏,然后给对方抹黑。
以下实验基于虚拟机环境测试,系统为 Windows 7 旗舰版;只安装了 QQ、Windows Live Messenger 2011、Microsoft Security Essentials 2、360 隐私保护工具。用的到的测试用工具为“Process Monitor”、“资源管理器(Windows 7 自带)”,当然还可以使用“Process Explorer”或者其他类似于可以实时监控进程模块和访问文件的其他安全厂商出的工具。
所有的测试,均在“360 隐私保护工具”在运行过程中,同时监控 Process Monitor 对“360 隐私保护工具”的同时监控的进程进行监控,同时,对“360”进行监控。参与对比的 IM 工具为“腾讯 QQ 2010 SP2”、“Windows Live Messenger 2011”,所有版本均在开发厂商的发布页面下载。
一切风暴的开始——360 隐私保护器,我安装的是当前的最新版本 Beta 5。
360 隐私保护在运行时,打开 Messenger,360 会对 Messenger 进行 DLL 注入,进行进程监控。而我们参与监控的 Monitor 并不采用这种 DLL 注入的手段(这种手段,在木马病毒中很常用),使用的是驱动级别的监控,可以 100% 不放过。
但是,360 隐私保护进程竟然在运行时打开了一个 UDP 监听端口。这个 UDP 端口用于发送或接受什么信息,只有 360 自己知道。接下来就正式开始吧,首先开始的是对 Messenger 的监控。
这是 Process Monitor 对 msnmsgr.exe 监控的所有动作,我没有对进程读写注册表进行监控。可以看到的是,Messenger 进程也对“360 隐私监控”相关文件进行了读写。
360 隐私对 QQ.exe 重点关照的“Flash 控件”的读写操作,在 msnmsgr.exe 做此操作时,没有报告。图片请点击放大查看。
不知道是不是策略做了修改?对于其他地方的 Office 文档之类的,并不做警告了?
腾讯 QQ 闪亮登场,我在开了将近 6 分钟,什么提示都没报……无奈,只能人工进行干预
终于开始报问题了,对照 360 隐私保护器的时间对 Process Monitor 进行参照对比:
结果在同一秒的时间上没有发现这一操作,难道 360 的谎报?动用 Process Monitor 对操作的映像名称进行了搜索,发现一堆这样的结果:
而这个结果,我不想说什么,最后的问题,我想,要么只能是通过我录视频,或者是各位自己也参与进来看看,是不是我说的这个原因就知道了:
事情的真相原因其实很简单,QQ 在 2008 版本左右的时候,已经将 QQ 医生组件捆绑在了 QQ 下面,而 QQ 医生大家应该都或许存有印象吧?当时 QQ 密码被盗厉害,腾讯为 QQ 用户所想,开始在 QQ 中捆绑 QQ 医生,并在登陆时扫描内存——还是强制,在 2009 之后,这一选项被取消,但并不表示没有了这一木马扫描服务,而是在这个地方:
而在扫描的时候,360 隐私保护就开始“为了自己的目的?”进行大肆宣扬 QQ 盗取信息。甚至还有人在这次事件之中,开始对这个“内存+敏感区域(Windows 文件夹、Windows\System32 文件夹、Program Files 文件夹,应该还有 Windows\Driver 文件夹,这个 QQ 有没有我不知道)”目标扫描和其他全盘扫描方式的杀毒方式做比较。
我们就在扫描的时候,做了一次实际上的验证,是否如此——结果属实。“QQ 安全沟通”在 QQ2010 中可以在主界面的 QQ 菜单右边的“安全”中打开,也可以在 QQ 菜单中找到。
那么,这个事情,还需要再争吗?就事情的表面焦点还需要攻击吗?但是,有人是否居心叵测就天知道了。
