2010年9月25日星期六

[GFW BLOG] 谁动了我的硬盘?

作者:Junyan   来源:http://jonnymajy.spaces.live.com/blog/cns!5DE368CF479F2874!1370.entry

此次试验的原因主要是最近看了三则相关新闻[1, 2, 3],声称腾讯QQ监控用户私人文件,不论这几则新闻的真实性,不过想一下被人监视的感觉有点恐怖,应了那句《1984》里 的话Big brother is watching you.(前几天同事推荐的,有机会要看一下)。锵锵三人行上说中国现在是信任危机,此篇文章目的之一想验证一下网络上的消息或传闻。这篇blog主要对 几款国内外流行的装机必备软件访问用户本地文件的行为进行了一下简单的测试。

第二个原因是想唤醒我们保护个人隐私的意识,因为我们同事说 对我说过一句话“你们中国人不知道什么是隐私”。这句话实际上一句半开玩笑的话,起因是我很推崇google的产品,想在google doc进行项目文档的协同编辑,我同事认为把什么东西都放在google那里很没有安全感。我觉得一方面说明了西方人对于个人隐私权利的重视,另外方面我 推测应该是欧洲人对于美国的一种警觉和戒备。不过话说回来,像gmail中对邮件关键字扫描的而产生广告的行为是在用户知情的前提下进行的,与测试结果中 QQ和迅雷的行为不能等同。

测试环境

  1. Microsoft Windows XP Professional Version 2002 Service Pack3英文版
  2. QQ2009正式版SP4(1060)
  3. Skype Version 4.1.0.179 英文版
  4. PPS影音 V2.6.86.8972正式版
  5. Windows Live Messenger Version 2009 (build 14.0.8098.726)
  6. 迅雷5 版本: 5.9.7.1062
  7. VeryCD版电驴 easyMule Version 1.1.11

测试工具

  1. Process Monitor v2.8 可以在Microsoft TechNet上下载

测试方法

  1. 启动Procmon.exe程序
  2. 创建Filter指定Process Name为进行测试的程序,如qq.exe
  3. 启动希望检测程序
  4. 运行一段时间后检查从启动到当前,某一程序进行了那些文件操作
  5. 由于相关信息太多,我只对File System Activity的相关事件进行了检查
  6. 添 加若干Filter,我主要使用的是Path的contains和begins with选项。利用contains和include选项可以查询是否对某一文件进行了操作,例如用ppstream,easymule作为关键字可以看 到是否对这些文件进行了操作;利用begins with和exclude选项可以把不感兴趣的事件滤除掉,例如不显示"C:\Documents and Settings\xxxx\Application Data\Tencent“文件夹以及文件夹下所有相关的操作。

说明

  1. 本 测试中的程序涉及到文件系统的相关事件会有上万个,我主要通过文件的目录和名字辨识某一文件或者目录是否属于某个程序。一般的程序会在 xxxx\Application Data\文件夹下建立自己的文件夹保存相关信息,此外一般网络xxx\Cookies\xxx@qq[1].txt也是应用程序用了保存一些会话信息的 地方,还有temp文件夹也可以不考虑。
  2. 由于一时兴起,没有做很细致的测试,例如注册表的操作,文件操作相关事件次数的统计等,我只是粗略的记录了相关一些文件访问。
  3. 本次测试只是简单个人测试,只是查看了常用的几款基于网络的应用软件在运行过程中对于本地文件系统的基本访问事件。这些事件仅说明了某一程序在执行过程中触碰某些文件的事实,并不能说明这些文件会被某一程序进一步利用。
  4. 测试结果不具普遍性,测试结论仅代表个人研究观点,不具有任何权威性,作者不承担任何由引用本文所带来的其他任何责任

测试结果

  1. QQ主要对下列与本软件无关的其他相关目录文件进行的访问
    • thunder network迅雷
    • easymule,电驴verycd版
    • kingsoft,金山软件的文件夹
    • windowslivewriter,微软的Live writer就是用来编辑本篇blog的软件
    • ppstream,PPS影音
    • googleupdate,Google相关软件
    • avg,一款国外免费的杀毒软件
    • iPodService.exe,ipod相关
    • C:\autoexec.bat,DOS时代的自动启动批处理文件
    • C:\Documents and Settings\xxxx\Application Data\Microsoft\SystemCertificates,不太清楚应该和证书有关
  2. skype(包括Skype.exe主程序和skypePM.exe的插件管理程序)主要对下列与本软件无关的其他相关目录文件进行的访问
    • C:\Documents and Settings\xxxx\Application Data\Microsoft\SystemCertificates,不太清楚应该和证书有关
    • C:\autoexec.bat,DOS时代的自动启动批处理文件
    • 尝试在以bin命名的目录下查找iexplore.exe文件
    • windows下的字体目录
  3. PPS影音 主要对下列与本软件无关的其他相关目录文件进行的访问
    • C:\autoexec.bat
    • windows下的字体目录
  4. Live Messenger 主要对下列与本软件无关的其他相关目录文件进行的访问
    • C:\autoexec.bat
    • windows下的字体目录
  5. Thunder.exe 主要对下列与本软件无关的其他相关目录文件进行的访问
    • C:\Documents and Settings\All Users\Start Menu,本机安装的程序列表
    • C:\WINDOWS\Installer,不太清楚,猜测是本机安装的软件
    • C:\Documents and Settings\majy\Desktop,你的桌面的上所有内容
    • C:\Program Files,安装在C盘的程序的常用目录
    • D:\Program Files,安装在D盘的程序的常用目录
    • windows字体目录
  6. easyMule.exe 主要对下列与本软件无关的其他相关目录文件进行的访问
    • C:\Program Files\TortoiseSVN\,不知道驴为什么对龟比较感兴趣
    • windows字体目录

结论

SkypeQQ都访问了xxxx\Application Data\Microsoft\SystemCertificates文件夹下的相关内容。一般的程序较为守法,最多就是枚举一下C盘的目录,然后查找一两个特别的文件,而相比之下QQ迅雷确实访问的很多与自身程序不相干的内容。另外,不知为什么电驴对乌龟比较感兴趣。

从测试结果来看,QQ迅雷的 行为不大符合除去杀毒软件外一般软件的行为特征。如果这些与本程序不相关的访问会被记录并且通过互联网被软件公司收集的话,我觉得这种行为有侵犯用户个人 隐私之嫌(我没有仔细一个个读这些软件的使用条款……)。如果这是一种数据收集的行为,我的简单猜测是这种访问其目的或许是想对目前用户电脑里安装运行了 那些程序进行一下问卷调查,从而为公司的市场决策提供一些数据支持。只是这种问卷调查不需要用户知道,也不用麻烦用户费神参与(不过理论上,我的计算机资 源与网络带宽被无端消耗了),自然没有纪念品可拿。但是我觉得这种做法和一个人趁你不注意到你家中清点一下你家的东西没什么两样。如果不能算是违法,那么 起码是对用户隐私的不尊重!

现在回想起微软那些出现令人反感的用户体验邀请,协议以及确认,又让人有种另外的感觉了。目前,我认为QQ和迅雷的这种行为是在中国个人隐私观念以及个人权利意识淡薄的大环境下的产物,希望能及早改进。最后以一句“勿以恶小而为之,勿以善小而不为”结束本文。

引用参考

  1. 腾讯QQ监控用户私人文件
  2. 震惊!!用windows7自带的资源监视器之下的QQ可疑行为!
  3. 腾讯QQ如何监视你的聊天记录的——看了这篇文章后你还敢用QQ吗?


--
Posted By GFW BLOG 功夫网 to GFW BLOG at 9/25/2010 06:36:00 PM

--
1、我们的订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、发一封标题为GFW的邮件到fanqiangyakexi1@gmail.com,就可获取翻墙利器赛风新地址。附《数字时代》赠阅版。3、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。
停止订阅,请发邮件到
gfw-blog+unsubscribe@googlegroups.com

没有评论:

发表评论