安全处理方案：360名安全卫士上载带有最终_IT /计算机_信息的用户隐私证据

360 Security Guards上传用户隐私证据是决定性的。最近，一些反病毒爱好者不小心发现360安全卫士在捕获数据包时经常将大量信息上传到服务器。经过分析和验证，发现360 Security Guard会将有关用户使用其他软件的信息上载到服务器，并且用户无法知道上载信息的详细信息。即使取消了“加入云安全计划”，也无法关闭360 Security Guard来上传这些敏感信息。这些信息将揭示用户的生活习惯，日程安排和更多私人软件操作。分析还发现，360 Security Guard的信息收集功能具有良好的云控制技术。客户端将从服务器接收指令，以随时打开或关闭上传功能。据观察，在信息收集过程中由360 Security Guard生成的文件被自动删除。这使得360安全卫士的收集行为非常隐蔽，发现信息上载的过程变得非常困难。但是，所谓的天网已恢复，但并未泄漏。仍然被民间的反病毒爱好者所俘获。根据本文介绍的360 Security Guard的上传行为，有兴趣的朋友可以重现360 Security Guard窃取用户隐私的整个过程。1.下载具有内置信息收集策略的360安全卫士和数据包捕获工具a）新安装的WinXP SP3虚拟机（您也可以使用真实计算机来重现它，没问题，您可以重现该过程）仅7zip安装后，为什么是7zip？这纯粹是偶然的。当然，可以安装其他压缩工具。

（此步骤在安装360 Security Guard之后完成。如果首先禁止％temp％目录的删除权限，则会影响360的安装。由于操作员担心操作员担心，因此已在前面进行了说明。将首先安装360，然后依次执行这些操作，操作结果无法重现），因为360 Security Guard会立即删除隐私收集系统上传的文件。关闭所有人的删除权限，此文件将不会被删除。 f）在安装360 Security Guard时，请注意关闭云安全计划。为了避免360声称上传是云计划的一部分，在测试正式开始之前，请360 Security Guard的Trojan马检查并杀死，然后关闭云安全计划。3.跟踪360 Security Guard上载私人信息的过程嗯，让我们现在开始。 a）浏览到％homepath％\ Appliacation Data \ 360safe \ LogInfo \目录b）尝试运行几个内置的WinXP小程序，例如记事本，绘图，玩扫雷器，玩纸牌，打开联系人等，只需运行一个很少。 c）观察日志文件是否在Loginfo目录中生成。命名规则是360_tmp_xxxx.log。打开后，检查是否已经运行了该程序的名称，运行时间以及该程序的详细信息。以下是一个记录示例

4.至此，已经证明360 Security Guard确实记录了使用其他软件的用户信息。接下来，我们可以跟踪该信息已上载到360 Security Guard的服务器。 a）连接到Internet（启用网卡或连接到虚拟机的网络）请注意，在运行数据包捕获程序时，“ 360安全性”将弹出警告。此时，允许加载数据包捕获工具的驱动程序。 b）启动数据包捕获工具，只需要监视dns和http协议包。 c）观察是否以％temp％生成了具有随机名称的zip文件。最初，我们没有机会看到此zip文件。 360 Security Guard将在那里。上传zip文件后立即删除该zip文件。由于我们将％temp％目录的安全性属性更改为所有人，并且禁止删除，因此该zip文件得以保留，从而使我们有机会截取上面的图片。 d）让我们看一下此zip中的内容，将其复制到桌面上，解压缩，添加扩展名txt，双击以使用记事本查看它。哦，我看到了，那就是我们在360_tmp_xxxx.log中看到的。 e）f）现在我们知道该zip文件是360_tmp_xxxx.log内容的软件包。在EtherPeek界面上按Ctrl + F，搜索.zip（一点点，以便您可以快速找到它），以便可以快速找到记录。双击打开。

g）我们看到此zip文件已上传到服务器，目标IP为221. 19 4. 175.79。通过检查DNS记录，您可以知道这是已解析的地址之一。 h）现在您可以看到上传地址是。这显然是一组服务器。5.360个安全卫士的信息收集行为很难监控。客户端将从云下载最新指令以执行，何时收集以及收集了多少次。云中的灵活配方。因此，通过观察360 Security Guard的信息收集行为，系统时间以及是否直接连接，可以确定是否可以复制该信息。 a）360安全卫士控制是否通过配置文件收集用户信息和收集次数。 360安全卫士安装目录的ipc子目录中有一个360hips.ini配置文件。文件结构如下：[OTConfig] Active = TRUE // TRUE表示启用收集功能MD5Enable = TRUE LogFlushSeconds = 180 LogsKeepHours = 72 MaxLogsTotalSize = 20971520 MaxPEFileSizeCalcMD5 = 104857600 MaxMD5CacheCount = 1000 MD5CacheClean = 300 LogRecheckSeconds = 14400 MinFreeSpace = 52428 FD5] 20 [REPROC] INTERVAL = 60 MAXCOUNT = 3 [cpopt] enable = 1 ave = 1 [PDU] PDUCHECK = 1 PDUTIMEOUT = 2000 PDUTRY = 2 PDUAUTO = 1 [cplog] logcount = 100 b）//这是数字的集合。收集100次后，请停止通过服务器更新配置文件。您只需修改两个参数即可向客户发送有关是否收集和收集数量的指令。

例如：Active = FALSE logcount = 0因为360 Security Guard会每隔几分钟检查一次是否需要静默自动更新，所以一旦服务器更新了文件，该命令就可以在短时间内访问所有已启动的文件用户。很难确定要在何处完全复制该收藏集。 c）360最近经常调整收集策略。根据360服务器部署的配置文件更新包，可以看到收集策略的最新变化。日期9–3是否收集集合数（活动）（日志计数）TRUE无限制，这意味着此阶段的配置文件下载地址为psini_ [k12]7.2. 1001. cab psini_ [k12 ]7.2. 100 3.cab psini_ [k12]7.2. 100 4. cab不具有此控制功能，可以长时间大量收集。 10-11 11-8是否FALSE 100（新添加的数量控制为100）0（集合已暂停）

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-342311-1.html