360蒐集隱私程序員級分析，供方舟子及大衆參考

 【一把菜刀：360蒐集隱私程序員級分析 供方舟子及大衆參考】這幾天方舟子vs360成了網上最熱的話題，方舟子說：360你竊取用戶隱私。360對於竊取隱私的迴應是：你不懂IT，因此沒資格指責。你人品還有問題。我懂it，可是我不指責，我來講說而已。那麼360和用戶隱私是什麼關係？方舟子vs360和我又有什麼關係？

我來賣菜刀的，菜刀能夠是武器也能夠是工具。

我但願方舟子買個人菜刀爲用戶砍出一片互聯網晴天。

我也但願360買個人菜刀，砍掉本身的錯誤行爲，還用戶一個安全的互聯網天空。

我還但願用戶也買個人菜刀，作出本身的選擇。

下面就是一把菜刀，各位怎麼使用就看本身的了。

我抓包時發現360安全衛士頻繁上傳大量的信息到服務器，通過分析後發現它會將大量用戶使用其餘軟件的信息上傳到服務器，用戶沒法知道上傳信息的詳情，即便取消‘加入雲安全計劃’，仍然不能阻止這些信息的上傳。這些信息將會暴露用戶的生活習慣、做息時間、以及比較私密的軟件操做。

360安全衛士的這個收集功能具備很好的實時控制性，能夠在雲端發佈指令，很短期令客戶端中止或開啓收集功能，同時收集過程當中產生的文件都會被自動刪除。這使得這一收集行爲具備很是好的隱蔽性。

因爲360安全衛士在不一樣時段發佈的安裝包收集策略不一致，並不是全部版本都具備一致的行爲。下面是我對這次分析的產品包的詳細信息。

產品版本： 360安全衛士 7.3.0.2003l
安裝包大小：17.9 MB
MD5： 8FB5774B68133D6CAAC3A2860187BE6F
下載地址： http://t.cn/zll3LVz

1、360安全衛士全面記錄用戶使用其餘軟件的行爲信息


正常安裝完360安全衛士後，進程防火牆會自動啓動，並經過驅動層Hook全部運行程序所需的系統API，運行任意程序時攔截，而後經過appd.dll記錄執行程序時間、身份ID、觸發程序名、觸發程序版本信息、執行程序名、執行程序版本信息等。


記錄後經過ipcservice.dll將日誌保存爲C:\Documents and Settings\[當前用戶名]\ApplicationData\360safe\LogInfo\360_tmp_xxxx.log.

如下是一條記錄的示例：

<t=2010-11-18 09:50:26><m=6db5c3797939054df8dcb0ffbc4e1154><p=ipc><c=ad><t=logprocess><started=1><src_path=C:\WINDOWS\explorer.exe><src_cn=MicrosoftCorporation><src_pn=Microsoft(R) Windows(R) OperatingSystem><src_sn=Microsoft Windows Component Publisher><src_in=explorer><src_lc=(C)Microsoft Corporation. All rights reserved.><dst_path=C:\ProgramFiles\AliWangWang\AliIM.exe><dst_cn=Alibaba software (Shanghai)Corporation.><dst_pn=AliIM 應用程序><dst_sn=Alibaba(China) Co. Ltd.><dst_in=NULL><dst_lc=Alibaba software (Shanghai)Corporation. All rights reserved.>

2、用戶信息日誌被360上傳到雲端服務器，並自動刪除不留痕跡

360安全衛士會將收集到的日誌合併打包到用戶臨時目錄，上傳到360部署的服務器上。

如下是360安全衛士上傳文件時的抓包分析截圖：

360安全衛士將C:\Documents and Settings\[當前用戶名]\Application Data\360safe\LogInfo\目錄下的log記錄合併後，當即刪除相應log文件，並在用戶臨時目錄（C:\Documents and Settings\[當前用戶名]\Local Settings\Temp）中建立一個文件壓縮後進行上傳。壓縮文件被命名爲隨機字符，不易被發現。

上傳的地址爲：http://t.cn/zOpiRl2。

上傳完成後該壓縮包被當即刪除，從上傳到刪除的間隔時間極短，若是沒有專業的手段，很難看到被上傳的文件是什麼內容。

這些信息的上傳很是頻繁，平均約30分鐘就上傳一次。直到達到配置文件規定的收集次數才中止收集（默認收集100次），並等待下一次收集的新指令。

另外，用戶不知情也不能取消這類收集行爲，他們沒法知道收集的大體內容，也沒有任何手段取消這種頻繁上傳的行爲。即便取消加入‘雲安全計劃’，仍然不能避免這些信息被上傳。

3、360在雲端遠程控制收集行爲，指令下達即實時又隱蔽，取證很是難

在分析中，我還發現了360具備很強的實時遠程控制能力。經過更新雲端的配置文件，修改幾個參數就能夠控制360安全衛士是否收集用戶信息，以及精確到收集上報多少次後自動中止。

1. 360安全衛士經過配置文件控制是否收集用戶信息以及收集的次數等


在360安全衛士的安裝目錄的ipc子目錄下，有一個360hips.ini的配置文件。該文件結構以下：

[OTConfig]
Active= TRUE //TRUE應該是表明開啓收集功能
MD5Enable = TRUE
LogFlushSeconds = 180
LogsKeepHours = 72
MaxLogsTotalSize = 20971520
MaxPEFileSizeCalcMD5 =104857600
MaxMD5CacheCount = 1000
MD5CacheClean = 300
LogRecheckSeconds = 14400
MinFreeSpace = 52428800

[FD]
JobTimer = 20

[REPROC]
INTERVAL=60
MAXCOUNT=3

[cpopt]
enable=1
ave=1

[PDU]
PDUCHECK=1
PDUTIMEOUT=2000
PDUTRY=2
PDUAUTO=1

[cplog]
logcount=100 //這裏表示收集的次數，收集100次後中止

2.經過服務端更新配置文件，只須要修改兩個參數就能夠將是否收集以及收集次數的指令下達到客戶端。如：

Active= FALSE
logcount=0

因爲360安全衛士每過幾分鐘就會檢查是否須要靜默的自動更新，因此，一旦服務端更新文件，指令就能夠在很短的時間內到達全部開機的用戶。要徹底重現收集的現場變得很是難以肯定。

3.360近期對收集策略調整頻繁

根據360服務端部署的配置文件更新包，能夠看出最近的收集策略的變化過程。

示刀完畢，各位請自便，我還有一些嘮叨。

關於菜刀的嘮叨，曾經有一把菜刀，360和周總拿着它砍向了流氓軟件，而現在這把菜刀砍向了咱們。曾經有不少人面對「侵害」，有心殺賊，無刀殺敵，我但願更多的程序員都出來，爲互聯網的公平和正義提供更多的「菜刀」。曾經大家都是什麼都不懂的小白，利益都要靠別人來爭取，今天有人在拿刀砍向大家，選擇莫言是能獲得獎勵麼？怎麼作值得思考。

此菜刀：永久免費。

via/一把菜刀