360安全卫士上传用户隐私确凿证据doc

360安全卫士上传用户隐私确凿证据doc 360安全卫士上传用户隐私证据确凿 最近，有反病毒爱好者在抓包时无意间发现360安全卫士频繁上传大量的信息到服务器。经分析验证，发现360安全卫士会将用户使用其他软件的信息上传到服务器，用户无法知道上传信息的详情，即使取消‘加入云安全’，仍不能关闭360安全卫士上传这些敏感信息。这些信息将会暴露用户的生活习惯、作息时间、以及比较私密的软件操作。 分析还发现360安全卫士的信息收集功能具有很好的云控制技术，客户端会接收服务端的指令，随时开启或关闭上传功能。观察发现，360安全卫士在信息收集过程中产生的文件都会被自动删除。这使得360安全卫士的收集行为具有非常好的隐蔽性，发现信息上传的过程变得很艰难。 但所谓天网恢恢，疏而不漏。360安全卫士的上传行为，还是被民间反病毒爱好者捕获。有兴趣的朋友可以根据本文重现360安全卫士窃取用户隐私的全过程。 1. 下载内置信息收集策略的360安全卫士和抓包工具 a) 全新安装的WinXP SP3虚拟机 (也可以用真机来重现，没问，你能重现该过程) 只安装了7zip，为什么是7zip，这个纯属偶然，当然装别的压缩工具也没问题。 b) 下载默认具有收集策略的360安全卫士版本 产品版本: 360安全卫士 7.3.0.2003l 安装包大小:17.9 MB MD5: 8FB5774B68133D6CAAC3A2860187BE6F 下载地址: 如果不能下载或者MD5不匹配，则说明360已经替换了这个包，请从其他地方搜索下载，注意数字签名时间戳要在11月8日以前。 c) 下载EtherPeek或其他抓包工具 EtherPeek NX的下载页面为: 2. 测试重现360安全卫士窃取隐私的环境准备: a) 系统时间: 当前系统时间如果离11月8日这个版本发布的时间太远，则不能重现信息收 集过程，实测中，将虚拟机的时间调整为11月9日，就可以100%重现360安 全卫士的收集过程。 b) 断网 安装过程中须彻底断开网络，可禁用网卡或拔掉网线，虚拟机中可以切断网络 连接。 c) 安装抓包工具EtherPeek NX d) 修改文件夹选项 选择关闭简单文件共享，显示所有文件，显示系统文件，显示文件扩展名。 e) 浏览到文件夹“%homepath%\Local Settings\Temp\”，删除其中的全部临时文件， 再修改temp文件夹的安全属性，关闭everyone的删除权限。 因为360安全卫士会将隐私收集系统上传的文件立即删除，关闭everyone的删 除权限，将会保留这个文件不被删除。 f) 安装360安全卫士，注意关闭云安全计划 为避免360说，上传是云计划的一部分，在测试正式开始前，启动360安全卫 士的木马查杀，再关闭云安全计划。 3. 跟踪360安全卫士上传隐私信息的过程 好了，现在让我们开始吧。 a) 浏览到%homepath%\Appliacation Data\360safe\LogInfo\目录 b) 尝试运行几个WinXP内置的小程序 记事本、画图，玩玩儿扫雷、纸牌，打开联系人等等，随便运行几个。 c) 观察Loginfo目录中是否生成了log文件，命名是360_tmp_xxxx.log，打开 后看刚刚运行的程序名、运行时间及程序的详细信息是否已经被。 以下是一条记录的示例 4. 到这里，已经可以证明，360安全卫士确实记录了用户使用其他软件的信息。接下 来，我们可以跟踪到这些信息被上传到360安全卫士的服务器up.f.360.cn。 a) 连网(启用网卡或连接虚拟机的网络) 注意抓包程序运行时，360安全卫士会弹出警告，此时要允许加载抓包工具的 驱动程序。 b) 启动抓包工具，只需要监听dns和http协议的包 c) 观察%temp%中是否生成了一个随机名的zip文件 本来，我们是没有机会看到这个zip文件的，360安全卫士会在上传该zip文件 到up.f.360.cn后立即删除这个zip文件。因为事先我们将%temp%目录的安全属 性修改为everyone禁止删除，这个zip文件才得以存活，使得我们有机会截到 上面这张图。 d) 我们看看这个zip里是什么 把它复制到桌面，解开，再加上扩展名txt，双击用记事本查看。哦，看到了， 就是我们刚才在360_tmp_xxxx.log中看到过的

内容

财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容

。 e) 现在我们知道，这个zip文件就是360_tmp_xxxx.log内容的打包 f) 在EtherPeek的界面上按Ctrl+F,搜索.zip(要带点，这样找得快)，于是很快定位 到一条记录，双击打开。 我们看到，这个zip文件被上传到目标IP为221.194.175.79的服务器。 g) 通过查DNS记录，可以知道，这是up.f.360.cn解析出的地址之一。 h) 现在可以看到，上传地址是，这显然是一群服务 器 5. 360安全卫士的信息收集行为很难被监控，客户端会下载云端的最新指令执行，何 时收集，收集多少次，均在云端灵活制定。 因此观察360安全卫士的信息收集行为，系统时间和是否联网直接决定能否重现。 a) 360安全卫士通过配置文件控制是否收集用户信息以及收集的次数等 在360安全卫士的安装目录的ipc子目录下，有一个360hips.ini的配置文件。 该文件结构如下: [OTConfig] Active= TRUE //TRUE代表开启收集功能 MD5Enable = TRUE LogFlushSeconds = 180 LogsKeepHours = 72 MaxLogsTotalSize = 20971520 MaxPEFileSizeCalcMD5 = 104857600 MaxMD5CacheCount = 1000 MD5CacheClean = 300 LogRecheckSeconds = 14400 MinFreeSpace = 52428800 [FD] JobTimer = 20 [REPROC] INTERVAL=60 MAXCOUNT=3 [cpopt] enable=1 ave=1 [PDU] PDUCHECK=1 PDUTIMEOUT=2000 PDUTRY=2 PDUAUTO=1 [cplog] logcount=100 //这里表示收集的次数，收集100次后停止 b) 通过服务端更新配置文件，只需要修改两个参数就可以将是否收集以及收集次数的指令下达到客户端。 如: Active= FALSE logcount=0 由于360安全卫士每过几分钟就会检查是否需要静默的自动更新，所以，一旦 服务端更新文件，指令就可以在很短的时间内到达所有开机的用户。要完全重现收集的现场变得非常难以确定。 c) 360近期对收集策略调整频繁 根据360服务端部署的配置文件更新包，可以看出最近的收集策略的变化过程。 日期 是否收集收集次数配置文件下载地址 (Active) logcount )( 9-3 TRUE 无限制,表示此阶段 psini_6.7.2.1001.cab 无此控制能力，可 长期大量收集。 10-11 TRUE (新增次数控制 psini_6.7.2.1003.cab 到100次) 11-8 FALSE (暂停收集) psini_6.7.2.1004.cab