[2010/08/13] QQ侦探 1.1.0 正式版发布

本主题由库存袈裟于 2010-6-2 17:46 合并 C.C.

1楼大中小发表于 2010-6-1 19:59 只看该作者

来源：http://hi.baidu.com/kernone/blog … 1a933367096ef0.html

广大的朋友们，大家好。历经这几天没日没夜的开发，稳定、简单的QQ侦探终于出炉了！本版定为正式版！

本版QQ侦探完全重写了代码，程序更加简洁、稳定、高效。彻底解决了前版会带来的蓝屏问题，建议所有用户都进行更新。另外，本版加入对搜狗输入法、微软拼音2010等软件的兼容，您再也不会因为输入法的问题而“盲打”了。

新版的QQ侦探完全去除了前版中的一些功能，因为我发现很多用户就只需要文件拦截功能就够了，不管这是不是HIPS。所以我去除了一些功能，当然，这些被去除的功能也无关痛痒，最重要的功能肯定会被保留下来。下面这是新版的QQ侦探界面截图：

新版的程序更加简洁，如果您在使用QQ中遇到什么问题，只需要临时禁用“文件内容扫描”功能，一切问题应该可以解决。

另一个重大的更新是QQ侦探事件簿。由于驱动程序中的改进，不会再频繁的申请和释放内存，因此性能大幅度提高，因此本版的事件簿加入了任务托盘图标，您完全可以全天候关注这只“小畜牲”，了解它一整天都在干什么。本版完全向您展现出QQ访问的所有文件（前版的QQ侦探没有展现所有的文件访问），对于正常的文件访问，事件簿中会标注该动作是正常的，对于可疑的文件访问，事件簿中也会为您标注出来。这是QQ侦探事件簿的截图：

最后对于本版的QQ侦探，您完全可以放心使用。由于重写了驱动程序的代码，现在已经完全避免了死亡蓝屏的发生，您可以和死亡蓝屏彻底说拜拜了！下面是BSODHOOK测试截图：

如何传送文件？

文件传送是QQ用户经常使用的功能之一，在使用QQ侦探后，您就无法随意传送文件。但是新版提供一个解决方法，就是在您要传送文件的目录下，新建一个名为TEMP的文件夹，然后将您要传送的文件移动到TEMP目录中，最后在通过鼠标拖拽的方式将文件拖入到聊天窗口中，QQ就会进行传送文件。

支持系统：

Windows XP/Vista/7 32位

如果您很喜欢该软件，您可以对我进行捐赠，不管您捐赠1元，2元还是10元，我都会在一篇感谢日志中列出您的姓名表示感谢。

另外，如果您想要学习本软件的驱动源代码，我建议您能购买我写的“驱动详细注释版源码包”。该源码包里有详细的注释，每一行都会有注释，如果您有基础，您完全能够看懂驱动程序的开发思路。注释版的定价完全由您来定，我个人建议售价5元/份，当然，如果您只愿意出1元、2元或者10元，我也完全出售给您，给您最大的自由定价权利！

购买方式：通过向我的支付宝中汇款（支付宝地址：kernone@live.com，汇多少完全由您定），并留下您的邮箱，在我看到您的留言之后，我会尽快发送注释版源码包给您，如果由于我的疏忽，没有及时发送注释版源码包给您，请您见谅，还请您能够向我的邮箱发送邮件，催促我给您发送源码包。谢谢。

下载列表：

QQ侦探 1.1.0 正式版：http://www.dbank.com/download.ac … sMzExNTgy&rnd=4

QQ侦探 1.1.0 源代码（无任何注释）：http://www.dbank.com/download.ac … sMzExNTgy&rnd=4

QQ侦探 1.1.0 源代码（驱动详细注释版）：个人建议价5元/份（实际交易价格完全由您定）

请您注意，下载本程序一定要到本博客指定下载地址，由于是开源软件，可能其他网友也会自行编译源代码，制作发行版程序。本人并不保证他人发行的程序是否有恶意代码或者其他问题，因此，请您一定要在本博客指定地址下载程序！您下载之后，请核对文件信息：

版本信息：

2010-8-12 版本号：1.1.0 （正式版）

1.QQ侦探所有代码全部重写，彻底解决蓝屏问题

2.大幅度提高驱动程序的性能

3.全新的事件簿，增加任务托盘图标，方便您查看事件

4.增加与其它软件的兼容：搜狗输入法、世界之窗浏览器、微软拼音2010、Opera浏览器

5.如果您需要学习驱动程序代码，建议您购买由原作者写的“驱动程序详细注释版”，价格由您决定

QQDetective.exe

MD5 - a0d68bff167e7f2e8419bd41bef831ad

SHA1 - b248b8d04f22d85c81ebc3d81072c0186bb26db4

MiniLog.exe

MD5 - 77c7ceb3df046192579b6b9751c01fd0

SHA1 - fd5cfa863fcacf7687b9d77b73f1f61d8d7f711c

作者声明：

本程序的原开作者是Kernone，本软件完全免费、开源。本软件采用GPL开源协议，您可以随意修改源码，或者重复使用源码。如果您将本程序源码应用于具有商业目的的项目中，由于使用GPL开源协议，因此请将您的项目完全开源，否则您将会列入由原作者的耻辱榜。请您对原作者的劳动表示应有的尊重。

联系方式：

QQ：515782505

Email：kernone@foxmail.com

支付宝捐赠：kernone@live.com

[ 本帖最后由 C.C. 于 2010-8-15 10:47 编辑 ]

Terminusbot 整理，讨论请前往 2049bbs.xyz

淮月

翻墙痴迷者雄性文青 @qhgy

2楼大中小发表于 2010-6-1 22:27 只看该作者

好东西

Amigo

3楼大中小发表于 2010-6-1 22:31 只看该作者

没有提示安装？这是为什么？

xykz

4楼大中小发表于 2010-6-1 22:47 只看该作者

哈，前几天刚在推上看了，还是用低权限用户运行比较好

鼠标土豆

古典自由主义土豆

5楼大中小发表于 2010-6-2 03:21 只看该作者

用comodo就不用再装这个了吧？

1984sb

哭著喊著奔幸福 @zj8nb Bio 最是那一甩鼻涕的溫柔，仿佛一朵野菊花不勝菊爆的嬌羞。

6楼大中小发表于 2010-6-2 03:59 只看该作者

QQ聊天时，无法使用输入法：这是由于《QQ侦探》的“拦截QQ访问其它进程”功能所引起的（经过测试，您使用系统自带的输入法是没有任何问题的），此时您只需关闭“拦截QQ访问其它进程”功能即可。

-—————

这个还是不行。搜狗输入法还是会被拦截！

id已被绿坝屏蔽

闃呭悗鍗崇剼

7楼大中小发表于 2010-6-2 10:27 只看该作者

输入法一直是问题

jazz19

各种控~

8楼大中小发表于 2010-6-2 10:35 只看该作者

看来win7普及很快啊 - -#

matt1089

9楼大中小发表于 2010-6-2 11:50 只看该作者

已经用上鸟

湿身事小

10楼大中小发表于 2010-6-2 12:26 只看该作者

个人感觉没多大用处.

gaoxsh

11楼大中小发表于 2010-6-2 16:38 只看该作者

建议使用 web.qq.com 就懒得用臃肿又流氓的QQ软件了

平安剑客

少跟我扯民主的淡！漫漫人生，无解的时代，幸而一路有SIS和18P2P相伴。

12楼大中小发表于 2010-6-2 16:59 只看该作者

comodo如何设置拦截，知道的朋友请简单说一下

mop

屏蔽

13楼大中小发表于 2010-6-2 17:44 只看该作者

关于QQ

原文地址：http://hi.baidu.com/kernone/blog … 756f3933fa1cb5.html

http://hi.baidu.com/kernone/blog … 3f8255252df2ff.html

1、拒绝腾讯官方QQ客户端

网友已经证明腾讯官方的QQ客户端（Windows）会扫描用户的上网记录、文档，并会将数据上传到服务器。

听起来很恐怖？

是的，真的很恐怖。

试想你的浏览历史全部都会被收集起来，你浏览器保存的密码也有可能被收集到腾讯的服务器。

要让一个人放弃使用QQ是很难的，如果你必须要使用QQ，可以尝试使用WebQQ，也可以安装这个由网友编写的QQ侦探，它会阻止QQ对电脑的扫描。

2、公用电脑上使用隐私浏览模式

现在，最新版本的Firefox、Chrome、Safari等都有“隐私浏览模式”，如果你需要在公用电脑上使用浏览器，最好使用隐私模式。

3、使用可信的翻墙工具

在翻墙调查里我了解到，很多人使用无界浏览、自由门等翻墙软件。这些软件使用方便，而且免费，所以用户群很庞大。

但是，这些翻墙软件不一定能很好地保护你的隐私，虽然没有明显的证据证明这些软件会做“坏事”，但如果你能更好地掌控你的翻墙工具，不是更安全么？

除了Tor，我不推荐其它免费的翻墙工具（有时候Tor也不一定安全），除非你在翻墙的过程中不输入任何登录信息。

我更推荐有翻墙需求的人购买信得过的VPN或SSH，又或者自己购买一个外国空间，架设代理自己使用。一年花费一两百在翻墙上并不算多。

-—————————————-我不是发广告的分割线——————————————————————

QQ，我们每天都在使用，不论您是用手机还是PC登陆，QQ早已溶入我们的生活。而您知道QQ背后的故事吗？我将会连载本系列日志，为您揭露QQ的真相。

收集QQ行为截图，作为取证之用。下面，我将给您展现我收集的部分QQ行为记录截图。

这幅图片记录下来了QQ正在枚举磁盘上的文件，并且以只读权限打开（如果您疑惑我是怎么知道QQ以只读权限打开文件，请您继续向下看，您就会知道令人震惊的秘密）。

下面来几张相同意义的图片，但是更加震撼：

还有很多截图，但是基本上都是记录QQ扫描用户文件的，我就不一一展示了。您可以在卡饭论坛上查找相关的贴子。

这里，我还找到了一个记录下珊瑚虫QQ扫描注册表的附件，当然，我还是以截图展示：

事件篇就到此，主要目的就是让您了解QQ会扫描文件内容等罪行。

2010/5/27增加续图

首先，QQ的安装目录中，基本上所有的文件都是经过数字签名，不得不佩服TX办事很认真！而在安装目录中有个Common.dll的动态链接库文件，下面是该动态链接库调用的函数截图，其中就有枚举磁盘文件所用的FindFirstFile、FindNextFile、FindClose三个组合函数。

函数在此，我相信是最有力的证据！当然，具体拿这个函数是枚举磁盘所有文件，还是用于其它目的，我不清楚。注意，这是直接调用Find***系列函数，而不是经过User32.dll调用，User32.dll调用这对函数很正常，因为通用对话框必须要使用这对函数进行枚举文件。

下图，应该可以说明问题

由图可以看到，QQ访问Messenger目录，我的TOOLS目录，但是访问这些目录的用意就不清楚了。至少，如果我要开发一款软件，我想我是不会跑去枚举跟我不相关的目录文件。

下图是QQ打开Messenger文件截图，我实在是搞不懂，为什么要打开EXE以及其它PE文件。难道是为了确认某个文件是PE格式或者TXT格式或者其它格式，而采用某种算法进行文件分析？

在分析QQ过程中，我还写了一段代码来模仿QQ行为，结果，我可以完全认定，QQ调用OpenFile函数打开文件，并且读取文件内容（不管是二进制文件还是其它类型文件）。截图为证：

请将该截图与上一篇（事件篇）中的图片对比，非常相似。

证明篇就写到这里，我认为，以上分析完全足以证明QQ的罪证。或许，可能是我最先胡乱猜想导致后面的推测与事实不符。但是，有这些证据，我估计我的猜想也不会有很大出入。

大家也可以回想，为什么很多人都在怀疑QQ，为什么曾经国外杀软刚进入中国都“误报”QQ是病毒？这些还需要您自己去体会。

通过《事件篇》和《证明篇》两篇日志，我估计您已经了解了一些QQ的罪行。现在，为了解决这个问题，历时半个多月的开发，并且在卡饭论坛内部测试，受到大量卡饭童鞋们好评的《QQ侦探》，现在公开下载！

首先，为了不吊您胃口，附上主界面截图：

由于是类HIPS，可能您的QQ客户端会受到功能限制，您可以调整保护级别来自行设置。

下面开始介绍《QQ侦探》

《QQ侦探》是一款专为腾讯IM系列软件打造的轻量级智能型“类HIPS”，其主要功能是拦截QQ（包括TM）的一些程序行为，让您的系统更加安全。（注：HIPS即主机入侵防御系统，类HIPS是我自己叫出来的啦，也就是有HIPS的模型但是又不是传统意义上的HIPS）

《QQ侦探》的开发目标是：不需要您过多干涉，只需要双击程序图标安装驱动保护模块，以后您便可以高枕无忧了。专为普通计算机用户打造的轻量级智能型类HIPS。

《QQ侦探》采用内核驱动的方式拦截QQ行为，因此，您可以在不启动任何《QQ侦探》进程的情况下，QQ的行为也会受到限制。您启用了《QQ侦探》的保护模块之后，您不会感觉到您的系统和之前有任何不同，《QQ侦探》已经在内部为您做了大量的工作。因此您只需要双击“QQDetective.exe”（QQ侦探配置程序）自动安装保护模块然后退出即可。当然，您也可以通过“QQDetective.exe”进行自己的个性化设置。另外，您还可以使用“QDLog.exe”查看当前QQ的行为拦截记录。

《QQ侦探》的主要功能：

1.拦截文件内容扫描（核心功能）

2.监控QQ操作注册表关键信息（《QQ侦探》不会拦截QQ对注册表的操作）

3.拦截QQ访问其他进程虚拟内存

4.拦截QQ创建进程动作

《QQ侦探》使用方法：

安装与卸载：

双击”QQDetective.exe”，第一次运行会要求您提升为管理员权限（以后就不再需要管理员权限了），程序会进行初始化设置并且自动为您安装保护模块。安装完成之后，您就会进入主界面，此时您可以自行配置程序的设置。设置完成之后，您可以单击“确定”按钮关闭配置程序。现在，您已经处于《QQ侦探》的保护之下了！如果您要卸载《QQ侦探》请以管理员权限运行“QQDetective.exe”，切换到“系统管理”选项卡，单击“卸载”按钮，程序会为您卸载驱动保护模块，此时，您一定要关闭“QQ侦探事件簿”，否则不能卸载成功。

程序的使用：

在使用《QQ侦探》的过程中，您似乎不会感觉到您的系统和以往有什么异同。但是，您计算机上的QQ已经无法做一些“小动作”了，您可以通过“QQ侦探事件簿”查看QQ的行为信息。而且您可能会感觉到无法使用QQ的某些功能，当然，您可以自行设置拦截级别，从而达到让您满意的保护状态。

如果在使用中出现下列情况，请按照以下方法解决：

1.QQ聊天时，无法使用输入法：这是由于《QQ侦探》的“拦截QQ访问其它进程”功能所引起的（经过测试，您使用系统自带的输入法是没有任何问题的），此时您只需关闭“拦截QQ访问其它进程”功能即可。

2.无法通过QQ主面板打开QQ空间、QQ邮箱、QQ游戏等附带功能：这是由于《QQ侦探》的“拦截QQ创建进程”功能所引起的。您可以选择关闭“QQ创建进程”功能，也可以先打开一款浏览器，再点击QQ空间、邮箱图标即可进入。如果您要使用QQ游戏、音乐等，请从“开始”菜单打开程序。

3.无法使用文件传送功能给好友传送文件：这是由于《QQ侦探》的“拦截QQ扫描文件内容”功能引起的。“拦截QQ扫描文件内容”是本软件的核心功能，启用该功能，您的文件内容信息将会受到保护。但是，您也无法通过QQ传送某些文件。解决方法是：1.您可以暂时停用“拦截QQ扫描文件内容”功能；2.将文件移动至“我的文档”目录下，即Documents目录中，这时候再使用QQ的文件传送功能向好友传送文件。

4.如果由于未知因素，导致您的系统崩溃、蓝屏。请您开机按下F8，通过“安全模式”或者“最后一次正确配置”功能进入系统，然后卸载《QQ侦探》（《QQ侦探》经过仔细测试，并且在卡饭论坛内测，反馈情况较好；在您正常的操作中一般来说是不会引起系统崩溃的）。如果卸载后任然蓝屏，请检查您的计算机自身设置情况。

支持系统：Windows XP/Vista/7 32bit

最新版本：1.0.2 beta

下载地址：http://www.dbank.com/download.ac … sMzExNTgy&rnd=4

-——————

原文地址：http://hi.baidu.com/kernone/blog … 756f3933fa1cb5.html

http://hi.baidu.com/kernone/blog … 3f8255252df2ff.html

[ 本帖最后由 mop 于 2010-6-2 17:48 编辑 ]

布鲁斯

八零后，已婚男，未就业，无收入。

14楼大中小发表于 2010-6-2 21:57 只看该作者

我今晚用了这个软件，WINXP SP3导致系统自动重启。

信手拈来一江山

真理部门卫和平部锅炉工友爱部清洁工富裕部审计员一夜七次狼最近成功升级为一夜十次狼

15楼大中小发表于 2010-6-2 22:19 只看该作者

科莫多也可以拦截的~

旧居烧炭

16楼大中小发表于 2010-6-3 14:41 只看该作者

用了这个之后GDI++无法渲染QQ字体

旺财

17楼大中小发表于 2010-6-7 09:19 只看该作者

刚试了了一下，用Google拼音正常输入

gxrrll

18楼大中小发表于 2010-6-7 11:00 只看该作者

用web.qq.com吧，这样就不用安装qq软件，也就没有什么顾虑了

free1989

@photobluer

19楼大中小发表于 2010-6-7 11:16 只看该作者

昨天试了试那个“概念版”，结果:

hanhan

今天，你钓鱼了吗？

20楼大中小发表于 2010-6-7 12:29 只看该作者

防QQ用处不大啊

防的住MSN 防的住迅雷给TG报信吗？

m3g4

21楼大中小发表于 2010-6-9 04:02 只看该作者

好东西啊

河殇

抱歉，根据相关法律法规和政策，本人目前只能低调，不能狂妄。推特@lxkrock

22楼大中小发表于 2010-6-29 12:23 只看该作者

好东西！！！

C.C.

23楼大中小发表于 2010-8-15 10:45 只看该作者

2010/08/13 更新QQ侦探 1.1.0 正式版

m3g4

24楼大中小发表于 2010-8-15 13:12 只看该作者

更新了更新了

河殇

抱歉，根据相关法律法规和政策，本人目前只能低调，不能狂妄。推特@lxkrock

25楼大中小发表于 2010-8-15 15:27 只看该作者

昨天更新的

与新版的qq冲突很大

打开qq就崩溃

然后自动重启～～

Zipurmouth

26楼大中小发表于 2010-8-15 16:50 只看该作者

原来用的1.03没事，今天更新了会蓝屏～

zhexing_lin

27楼大中小发表于 2010-8-15 20:02 只看该作者

好东西啊~