用Windows操作系统的同学们,你还有隐私么?

2018-04-22 孟光 小规模系统运维与开发 小规模系统运维与开发

我一直是Windows操作系统的忠实用户,虽然我管理过无数台Linux服务器,虽然我偶尔也折腾一下Mac,但日常工作学习还是使用Windows系统。

最近发现我的电脑有点问题,启动VSCode(Visual Studio Code)时总是卡顿十几秒才能正常使用,前几天比较忙,没空理它,今天实在不能忍了,仔细研究了一下,发现了一个惊天大秘密。

我先是用Procmon进程跟踪工具看了一下,发现Code.exe进程会访问一个莫名奇妙的IP地址的80端口:61.147.120.250:80,这个地址现在已经连不上了,所以Code.exe会卡顿到超时。网上查了半天这个IP地址,一无所获,后来我索性把我自己的网卡设置为这个IP地址,然后启动了一个nc,看看这个请求到底要干啥,然后发现这样的请求信息:

$ nc -l 80

GET /servertq/libenvcfgwk.dat HTTP/1.1

Host: update.365tq.cn

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; rv:11.0) like G


Accept: */*

Connection: Close

这域名虽然无法访问,但一看就是一个山寨网站,Visual Studio Code再无聊也不会主动去访问这个东西。肯定是被劫持了。

然后我用Autoruns分析了一下,果然Winsock被插入了一个DLL文件:XLNet.dll,这个dll还是有数字签名的,好像是 联通沃宽 的一个文件。

赶紧把强插的条目删掉,把DLL改名,然后一切都正常了。

通过这个事情,我有几个心得:

一,国内的流氓软件真是无底线的,相比之下Facebook的问题算个啥。

二,Windows这种机制,是专门为流氓软件定制的后门么?!

三,期待Linux桌面系统更加强大,争取早日迁移过去。

大家有空的时候,也跑一下这两个软件吧,保准儿能看到一些让你惊讶的东西。

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon

https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns