2010年9月27日星期一

誰動了我的硬盤?

作者:Junyan   來源:http://jonnymajy.spaces.live.com/blog/cns!5DE368CF479F2874!1370.entry

此次試驗的原因主要是最近看了三則相關新聞[1, 2, 3],聲稱騰訊QQ監控用戶私人文件,不論這幾則新聞的真實性,不過想一下被人監視的感覺有點恐怖,應了那句《1984》裡 的話Big brother is watching you.(前幾天同事推薦的,有機會要看一下)。鏘鏘三人行上說中國現在是信任危機,此篇文章目的之一想驗證一下網絡上的消息或傳聞。這篇blog主要對 幾款國內外流行的裝機必備軟件訪問用戶本地文件的行為進行了一下簡單的測試。

第二個原因是想喚醒我們保護個人隱私的意識,因為我們同事 說 對我說過一句話「你們中國人不知道什麼是隱私」。這句話實際上一句半開玩笑的話,起因是我很推崇google的產品,想在google doc進行項目文檔的協同編輯,我同事認為把什麼東西都放在google那裡很沒有安全感。我覺得一方面說明了西方人對於個人隱私權利的重視,另外方面我 推測應該是歐洲人對於美國的一種警覺和戒備。不過話說回來,像gmail中對郵件關鍵字掃瞄的而產生廣告的行為是在用戶知情的前提下進行的,與測試結果中 QQ和迅雷的行為不能等同。

測試環境

  1. Microsoft Windows XP Professional Version 2002 Service Pack3英文版
  2. QQ2009正式版SP4(1060)
  3. Skype Version 4.1.0.179 英文版
  4. PPS影音 V2.6.86.8972正式版
  5. Windows Live Messenger Version 2009 (build 14.0.8098.726)
  6. 迅雷5 版本: 5.9.7.1062
  7. VeryCD版電驢 easyMule Version 1.1.11

測試工具

  1. Process Monitor v2.8 可以在Microsoft TechNet上下載

測試方法

  1. 啟動Procmon.exe程序
  2. 創建Filter指定Process Name為進行測試的程序,如qq.exe
  3. 啟動希望檢測程序
  4. 運行一段時間後檢查從啟動到當前,某一程序進行了那些文件操作
  5. 由於相關信息太多,我只對File System Activity的相關事件進行了檢查
  6. 添 加若干Filter,我主要使用的是Path的contains和begins with選項。利用contains和include選項可以查詢是否對某一文件進行了操作,例如用ppstream,easymule作為關鍵字可以看 到是否對這些文件進行了操作;利用begins with和exclude選項可以把不感興趣的事件濾除掉,例如不顯示"C:\Documents and Settings\xxxx\Application Data\Tencent「文件夾以及文件夾下所有相關的操作。

說明

  1. 本 測試中的程序涉及到文件系統的相關事件會有上萬個,我主要通過文件的目錄和名字辨識某一文件或者目錄是否屬於某個程序。一般的程序會在 xxxx\Application Data\文件夾下建立自己的文件夾保存相關信息,此外一般網絡xxx\Cookies\xxx@qq[1].txt也是應用程序用了保存一些會話信息的 地方,還有temp文件夾也可以不考慮。
  2. 由於一時興起,沒有做很細緻的測試,例如註冊表的操作,文件操作相關事件次數的統計等,我只是粗略的記錄了相關一些文件訪問。
  3. 本次測試只是簡單個人測試,只是查看了常用的幾款基於網絡的應用軟件在運行過程中對於本地文件系統的基本訪問事件。這些事件僅說明了某一程序在執行過程中觸碰某些文件的事實,並不能說明這些文件會被某一程序進一步利用。
  4. 測試結果不具普遍性,測試結論僅代表個人研究觀點,不具有任何權威性,作者不承擔任何由引用本文所帶來的其他任何責任

測試結果

  1. QQ主要對下列與本軟件無關的其他相關目錄文件進行的訪問
    • thunder network迅雷
    • easymule,電驢verycd版
    • kingsoft,金山軟件的文件夾
    • windowslivewriter,微軟的Live writer就是用來編輯本篇blog的軟件
    • ppstream,PPS影音
    • googleupdate,Google相關軟件
    • avg,一款國外免費的殺毒軟件
    • iPodService.exe,ipod相關
    • C:\autoexec.bat,DOS時代的自動啟動批處理文件
    • C:\Documents and Settings\xxxx\Application Data\Microsoft\SystemCertificates,不太清楚應該和證書有關
  2. skype(包括Skype.exe主程序和skypePM.exe的插件管理程序)主要對下列與本軟件無關的其他相關目錄文件進行的訪問
    • C:\Documents and Settings\xxxx\Application Data\Microsoft\SystemCertificates,不太清楚應該和證書有關
    • C:\autoexec.bat,DOS時代的自動啟動批處理文件
    • 嘗試在以bin命名的目錄下查找iexplore.exe文件
    • windows下的字體目錄
  3. PPS影音 主要對下列與本軟件無關的其他相關目錄文件進行的訪問
    • C:\autoexec.bat
    • windows下的字體目錄
  4. Live Messenger 主要對下列與本軟件無關的其他相關目錄文件進行的訪問
    • C:\autoexec.bat
    • windows下的字體目錄
  5. Thunder.exe 主要對下列與本軟件無關的其他相關目錄文件進行的訪問
    • C:\Documents and Settings\All Users\Start Menu,本機安裝的程序列表
    • C:\WINDOWS\Installer,不太清楚,猜測是本機安裝的軟件
    • C:\Documents and Settings\majy\Desktop,你的桌面的上所有內容
    • C:\Program Files,安裝在C盤的程序的常用目錄
    • D:\Program Files,安裝在D盤的程序的常用目錄
    • windows字體目錄
  6. easyMule.exe 主要對下列與本軟件無關的其他相關目錄文件進行的訪問
    • C:\Program Files\TortoiseSVN\,不知道驢為什麼對龜比較感興趣
    • windows字體目錄

結論

SkypeQQ都訪問了xxxx\Application Data\Microsoft\SystemCertificates文件夾下的相關內容。一般的程序較為守法,最多就是枚舉一下C盤的目錄,然後查找一兩個特別的文件,而相比之下QQ迅雷確實訪問的很多與自身程序不相干的內容。另外,不知為什麼電驢對烏龜比較感興趣。

從測試結果來看,QQ迅雷的 行為不大符合除去殺毒軟件外一般軟件的行為特徵。如果這些與本程序不相關的訪問會被記錄並且通過互聯網被軟件公司收集的話,我覺得這種行為有侵犯用戶個人 隱私之嫌(我沒有仔細一個個讀這些軟件的使用條款……)。如果這是一種數據收集的行為,我的簡單猜測是這種訪問其目的或許是想對目前用戶電腦裡安裝運行了 那些程序進行一下問卷調查,從而為公司的市場決策提供一些數據支持。只是這種問卷調查不需要用戶知道,也不用麻煩用戶費神參與(不過理論上,我的計算機資 源與網絡帶寬被無端消耗了),自然沒有紀念品可拿。但是我覺得這種做法和一個人趁你不注意到你家中清點一下你家的東西沒什麼兩樣。如果不能算是違法,那麼 起碼是對用戶隱私的不尊重!

現在回想起微軟那些出現令人反感的用戶體驗邀請,協議以及確認,又讓人有種另外的感覺了。目前,我認為QQ和迅雷的這種行為是在中國個人隱私觀念以及個人權利意識淡薄的大環境下的產物,希望能及早改進。最後以一句「勿以惡小而為之,勿以善小而不為」結束本文。

引用參考

  1. 騰訊QQ監控用戶私人文件
  2. 震驚!!用windows7自帶的資源監視器之下的QQ可疑行為!
  3. 騰訊QQ如何監視你的聊天記錄的——看了這篇文章後你還敢用QQ嗎?
>> http://www.chinagfw.org/2010/09/blog-post_928.html

沒有留言:

發佈留言