4个隐藏功能详细分析(1)
2010年10月29日,360公司在京宣布,推出一款名为"扣扣保镖"的安全工具,全面保护QQ用户的安全。该工具包括防止隐私泄漏、防止木马盗取QQ账号以及给QQ加速等功能。360称,扣扣保镖默认不修改QQ任何设置,所有功能都必须由用户主动选择触发,并可随时启用和恢复。
瑞星研发部门通过对扣扣保镖(1.0.0.1004版本)主要功能实现模块QGuard.dll进行分析:发现该软件除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对QQ,且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态,并且可由360公司远程开启。
扣扣保镖4个隐藏功能详细分析
扣扣保镖除了界面上的可见功能以外,还存在屏蔽QQ软件升级、劫持腾讯浏览器、屏蔽QQ启动的特定进程列表、备份并恢复QQ软件等4个隐藏的功能,它们均由Config.ini文件进行开关控制。经分析,该控制文件在扣扣保镖安装包中并没有提供,安装后也不会自动生成,只可能由360"云服务器"直接进行远程投递(或用户可以手动生成激活隐藏功能)。也就是说,用户对于这些隐藏功能均无法控制,而且不了解其激活和生效情况。
技术细节:
用户使用扣扣保镖(1.0.0.1004版本)时,它会把自己的主要功能模块QGuard.dll通过全局钩子方式注入腾讯QQ进程,并拦截QQ进程的系统调用ShellExecuteExW和CreateProcessInternal W等,时刻关注Config.ini文件(隐藏功能激活文件),一旦发现该文件存在,将根据文件内容进行相关隐藏功能的激活动作。
通过对现有的4个隐藏功能代码分析,我们可以推测Config.ini文件至少存在以下4种开关:
[Main]
DisableUpdate=1//自动屏蔽QQ升级,导致用户不知情的情况下QQ软件无法升级。
DisableBrowser=1//劫持QQ对浏览器的启动并替换为360"安全"浏览器。
Com=<过滤的进程文件名1>;<过滤的进程文件名2>;……
//自动屏蔽QQ启动指定镜像名例表的进程启动。
enable_repair=1//开启备份QQ的参数:是否开启弹框引导用户备份QQ软件
MaxNotifyCount=50//开启备份QQ的参数:最多弹框次数
FirstNotify=1//开启备份QQ的参数:QQ启动后弹框的时间(秒)
以下为扣扣保镖QGuard.dll进行WINDOWS API拦截及API拦截功能实现的相关代码
扣扣保镖在QQIM进程中拦截相关系统API后将实时监控QQIM启动进程动作(用户不能使用任何功能设置项进行隐藏功能关闭操作)
网友评论