找回密码
 立即注册
大科技语录:
查看: 991|回复: 0

从技术角度看QQ与360过招手法[苗得雨]

[复制链接]
发表于 2010-11-6 12:34 | 显示全部楼层 |阅读模式

QQ和360对决后,这几天我接到了N多网友、同学、媒体朋友的电话和留言,询问我对这件事情的看法,当然主要还是想知道到底QQ有没有偷窃隐私,到底360有没有窃取QQ资料等问题,开始我还能够耐心回答,后来每次接到电话都要重复相同的内容,搞得我不胜其烦,所以就针对三个典型问题,做一个统一的解答。以后有不明白的看这个网址,当然随后我还会写几个其他的评论,也表述一下我个人对这个事件的看法。

先回答问题吧!

1、360隐私保护器为什么可以侦测到QQ翻看了哪些文档?

很多网友使用360隐私保护器之后发现QQ好像在翻开自己的文档,其实这种现象之所以出现,主要是因为360隐私保护器的工作原理造成的。按照360官方对隐私保护器工作原理的解释,360隐私保护器通过使用钩子技术,把360隐私保护器核心模块360PrivacyMon.dll安装到所监控软件的进程中去,并将这些软件调用CreateFile函数去访问的文件都记录下来并提示给用户,当这些软件“访问”到涉及用户的所谓“隐私文件”时,360隐私保护器就会警示。

但是从程序设计的角度来看,CreateFile函数很多软件都会用到的一个常用函数。QQ为了保护用户不被盗号,加了一个防盗号扫描的模块,在QQ处于开启状态的时候,QQ会随机性的扫描进程,并会对新创建的进程进行扫描,分析其中是否有盗号木马等恶意程序,这些动作都需要用到CreateFile函数来操作系统文件。

而打开文档也会调用到一些具体的EXE可执行程序,例如Word的DOC文档会调用Word程序,许多黑客也通过修改关联程序的方法,欺骗用户执行木马,因此当用户运行文档的时候,QQ的防盗号模块就会进行检查,而360隐私保护器则将误导为了QQ在翻看用户文档。所以如果按照这个CreateFile函数来判断QQ是否在窃取隐私,就如同我们将咳嗽作为了随地吐痰的标准,当有人一咳嗽我们就冲上去说他随地吐痰并罚款,这种规则肯定是存在很大误判的。

2、360的扣扣保镖是怎么屏蔽QQ部分功能的?

360扣扣保镖屏蔽QQ功能的方法则更加直接,通过钩子技术修改QQ程序本身的一些函数,并进行劫持转向,简单些说就是程序篡改。将QQ一些原本调用的一些函数和文件都篡改为360文件,并屏蔽某些程序调用。这就如同我们看电视一样,电视台播放节目,并插播广告。但是帮助电视台中转信号的有线电视机构却篡改了电视台的节目,将电视台原始的广告去除,并替换为自己的广告,而且还利用网络便利插播广告建议用户改看别的节目。对于是否有后门,瑞星出了分析报告,我个人在这里就不在分析和评论了。

3、QQ怎么知道哪些电脑上安装了360?

而QQ判断用户是否安装了360客户端更为简单,因为360在运行的时候,需要有服务和程序常驻在进程中,QQ只需要判断一下用户当前进程中是否有360的程序和服务即可。而识别是否为360程序,就如同识别病毒一样,分析一下文件的特征,甚至就如同360隐私保护器一样,分析一下文件的签名和版权信息就可以判断是否为360程序。

但360应对的方法也很简单,因为QQ想判断用户是否安装了360必须升级现在的程序,将新的判断模块作为补丁让用户升级上去。不过360做为杀毒软件更加主动一些,它可以从用户的客户端连接这个补丁,让用户的QQ无法升级该补丁,从而制止QQ判断识别自己。从双方交火的实际情况来看,360也的确选择了这样的做法。


http://blog.sina.com.cn/s/blog_59450ffc0100mynj.html
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|大科技

GMT+8.8, 2024-12-23 02:53 , Processed in 0.073871 second(s), 15 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表