隐藏功能三:激活后对QQ软件的浏览器进行劫持(替换成360浏览器)
该隐藏功能影响域:
该功能激活后,QQ 进程启动的浏览器进程(带参数浏览URL方式)将被替换成启动360SE来进行浏览(装着360浏览器的情况下)。由于该功能是拦截 API实现,所以无论用户设置的默认浏览是什么,也不论腾讯QQ当前选用哪个浏览器都将被劫持成360SE(附:该隐藏功能不单可以劫持TTraveler.exe,QQBrowser.exe,还能根据升级的配置随时指定劫持的浏览器进程名。)
这样QQ软件用户聊天时带的所有URL链接的浏览量将都被360SE获取。
扣扣保镖QGuard.dll拦截程序,发现QQ IM启动的程序为腾讯的浏览器(TTraveler.exe和QQBrowser.exe),且Config.ini文件内容中有DisableBrowser=1,则将QQ IM启动的浏览器自动替换为360的浏览器。
除此之外,通过最后一行Call InitComponent读取位于%AppData%的配置文件UserConfig.ini中的component项是否有指定名称的镜像名,如果发现也将替换为360的浏览器。
隐藏功能四:激活后欺骗用户对QQ软件进行备份(并可做恢复操作)
该隐藏功能影响域:
该隐藏功能激活后,将根据360投送的Config.ini里配置的参数引导用户备份QQ软件到360指定目录,并可通过扣扣保镖进行恢复。
在config.ini里填入以上内容,在启动QQ时会出现以下对话框。
在这里可以禁用QQ的自动更新功能。备份按钮会将QQ的全部数据备份到360的配置目录。如下图:
相关代码如下:
分析总结:
由于360扣扣保镖的这4个隐藏功能针对性极强(针对QQ软件)并具有:
1、在不被用户知情的情况下进行破坏其它软件正常运行的流氓软件特性。
2、绕开用户控制隐蔽触发的后门功能特性。
3、注入其它进程,修改其正常功能运行方式的外挂特性。
而这些技术手段通常只在木马、后门、病毒这类恶意软件上见到,在一款“以安全为名”的软件上出现并针对正常软件使用是极为罕见的。这也可以很好地理解为什么360让它如此短命,腾讯为什么如此愤怒。
附:
从百度百科中查出一些公众认知的定义:
外挂:外挂一般是指在电脑运行中,一个程序通过某种事件触发而得以挂接到另外一个程序的空间里(常用的触发事件有键盘触发,鼠标触发,消息触发等),挂接的目的通常是想改变被挂接程序的运行方式。
后门功能:指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的方法。
流氓软件新发展:新的流氓软件可能并没有捆绑插件,新的流氓行为包括故意妨碍其他同类软件的使用,新的流氓行为包括把自己的流氓行为说成是BUG或者好功能,以此来掩盖自己肮脏的目的,新的流氓都精通心理学,把用户的心理研究的透透彻彻,并利用这种心理来做利于自己的事情。
