4个隐藏功能详细分析(2)
隐藏功能一:激活后自动屏蔽QQ软件升级
该隐藏功能影响域:
该隐藏功能激活后,QQ的安全组件、QQ本身等软件都不能正常更新升级(用户毫不知情,也不会得到任何错误提示),QQ软件将变成一个"死"软件。
以下为扣扣保镖QGuard.dll在拦截ShellExecuteExW及CreateProcessInternalW后进行的QQIM启动升级进程(屏蔽QQ升级)识别及屏蔽升级部分代码。
如果发现启动的是auclt.exe、SelfUpdate.exe和QQSafeud.exe并在Config.ini文件中DisableUpdate=1则将绕开真实系统调用,使QQ升级进程启动失效。这些操作将对用户没有任何提示!
隐藏功能二:激活后根据指定进程列表进行QQ启动程序的拦截
该隐藏功能影响域:
该隐藏功能激活后,将根据360投送的Config.ini里指定的进程名进行QQ启动程序过滤。这将让360可以非常方便进行可控的QQ启动程序拦截。
扣扣保镖还会尝试读取位于安装目录下360360safe360QGuard下的Config.ini中Main主键下的Com字段(参照上文所述Config.ini结构)。由于Config.ini在默认安装情况下不存在,在此无法得知具体需要屏蔽的进程,但是通过分析代码可以得知此字段为一个由";"分割的一个进程列表。扣扣保镖将拦截此列表中所有文件名相同的进程的启动。
以下为QQ启动程序屏蔽列表部分代码
以下为:扣扣保镖QGuard.dll屏蔽列表读取代码
除此之外还会在%AppData%的配置文件UserConfig.ini中读取component字段,其中每一项镜像名其后的0和1为进程屏蔽开关。
%AppData%360QGuardUserConfig.ini内容如下:
[component]
<要阻止的文件名及扩展名>=0|1
网友评论