传，工信部已加入360安全卫士研发

devymex

Devymex真身，Twitter: @devymex

1楼 大 中 小 发表于 2010-2-4 11:32 只看该作者

传，工信部已加入360安全卫士研发

绿坝项目失败使得中国监控网络的计划受阻，但工信部已经开始构建新的网络监控渠道。工信部已派工作组进入奇虎公司，并下达通知要求在360杀毒软件中加入后门程序。对于瑞星、江民等其它国内软毒软件公司的政策还在研究当中。中共下一步将会利用官方媒体大力渲染国外杀毒软件的漏洞，并出台相关限制政策，借此大力推广国产杀毒软件。

---

Terminusbot 整理，讨论请前往 2049bbs.xyz

---

张书记

http://twitter.com/SecretaryZhang

2楼 大 中 小 发表于 2010-2-4 11:48 只看该作者

安后门

http://discovery.ynet.com/view.jsp?oid=63165009

近日，360产品陆续出现严重缺陷：2月1日360安全卫士被爆存在“本地提权”漏洞，截止到2月3日11时，其产品并未修复，而官方宣称已修复（见360的官方报道http://bbs.360.cn/3229787/34800737.html?recommend=1）。随后奇虎360安全卫士又被曝出给用户电脑安装“后门”，任意读取用户隐私文件。问题暴露后，奇虎奇虎360不但没有承认自身问题，反而通过删除网络新闻、个人博客、威胁媒体、枪手发帖等手段欺骗用户，掩盖事实真相、混淆视听。瑞星公司本着对所有360用户安全负责的态度，现公布360“后门”部分技术细节，请奇虎360尽快停止安装“后门”，停止侵害用户权益的行为。

请奇虎360公司以严谨的态度尽快面对以下问题。第一：请对360安全卫士存在的“后门”进行解释；第二：对2月1日公布的360安全卫“士本地提权”漏洞仍未修复，却在官方宣布已经修复的问题做出解释；第三：请尽快对以上两大严重产品缺陷进行修复。

360安全卫士“后门”细节分析

360安全卫士后门程序涉及的主要文件是：在安装进入系统时自带的驱动文件bregdrv.sys、bfsdrv.sys，以及对这两个驱动文件调用的动态链接库bregdll.dll、bfsdll.dll。

bregdrv.sys：360内核模式驱动，该驱动程序通过调用操作系统的未公开CmXxx系列函数来操作注册表，另外由于操作系统内部本身维护了很多同步数据、缓存数据，直接调用CmXxx系列函数操作注册表极有可能造成系统内部数据不同步，严重影响系统安全性，甚至可能导致用户正常数据丢失；

bregdll.dll：用户态动态库，该动态库封装了对bregdrv.sys的调用，为用户态程序提供注册表操作后门的接口；该动态库仿照Windows操作系统API接口（加B作为前缀）导出了如下注册表操作函数，但与Windows

API不同的是，bregdll.dll导出的函数在实现上绕过了操作系统的所有安全检查，直接调用极为低层的未公开CmXxx系列函数实现：

1.BRegCloseKey 2.BRegCreateKey 3.BRegCreateKeyEx 4.BRegCreateKeyExW

5.BRegCreateKeyW 6.BRegDeleteKey 7.BRegDeleteKeyW 8.BRegDeleteValue

9.BRegDeleteValueW 10.BRegEnumKey 11.BRegEnumKeyEx 12.BRegEnumKeyExW

13.BRegEnumKeyW 14.BRegEnumValue 15.BRegEnumValueW 16.BRegOpenKey

17.BRegOpenKeyEx 18.BRegOpenKeyExW 19.BRegOpenKeyW 20.BRegQueryValueEx

21.BRegQueryValueExW 22.BRegSetValueEx 23.BRegSetValueExW

360后门部分功能代码截图一

bfsdrv.sys，该驱动程序通过直接向文件系统发送I/O请求包（IRP）来实现文件操作，这种方式可以绕过基于过滤驱动的文件监控（包括卡巴斯基、诺顿等安全软件）。由于该程序没有对调用者进行检查，导致可以被任意程序（如各种木马程序等）利用达到修改、删除用户正常文件的目的。

bfsdll.dll：用户态动态库，该动态库封装了对bfsdrv.sys的调用，为用户态程序提供文件操作后门的接口；该动态库仿照Windows操作系统API接口（加FS或Bfs作为前缀）导出了如下文件操作函数，但与Windows

API不同的是，bfsdll.dll导出的函数在实现上绕过了所有文件系统上层的过滤驱动，直接向文件系统发送I/O请求包实现：

1.BfsMoveFileExW 2.FSCloseHandle 3.FSCopyFile 4.FSCopyFileW

5.FSCreateFile 6.FSCreateFileW 7.FSDeleteFile 8.FSDeleteFileW

9.FSFindClose 10.FSFindFirstFile 11.FSFindFirstFileW 12.FSFindNextFile

13.FSFindNextFileW 14.FSGetFileAttributes 15.FSGetFileAttributesEx

16.FSGetFileAttributesExW 17.FSGetFileAttributesW 18.FSGetFileSize

19.FSGetFileSizeEx 20.FSGetLongPathName 21.FSGetLongPathNameW

22.FSGetShortPathName 23.FSGetShortPathNameW 24.FSPathFileExists

25.FSPathFileExistsW 26.FSPathIsDirectory 27.FSPathIsDirectoryW

28.FSReadFile 29.FSSearchPath 30.FSSearchPathW 31.FSSetFileAttributes

32.FSSetFileAttributesW 33.FSSetFilePointer 34.FSSetFilePointerEx

35.FSWriteFile

上述API均通过DeviceIoControl/NtDeviceIoControlFile来调用驱动提供的不同文件操作功能，这些操作均会绕过基于过滤驱动的文件监控。

360后门部分功能代码截图二

360安全卫士没有遵循正常的操作系统安全机制，却直接绕开了系统安全检查机制。其不仅具有“后门”功能，而且该程序存在重大安全隐患，利用此程序不需要任何身份认证，可轻易被黑客利用窥视用户隐私、读取、修改或删除用户电脑中的所有文件和注册表信息。

例如，任意普通用户可以在低权限的情况下实现删除系统安装的安全软件，隐藏自己的恶意程序。而通过bregdrv.sys对注册表的操作，可以利用其在系统底层任意操作注册表的权限，达到更多的目的，如：

通过修改注册表存储的用户信息，将guest用户激活并克隆成管理员，但是在系统表面看来，guest用户仍然是被禁用的。

通过修改注册表实现映像劫持，将sethc.exe（系统粘滞键功能）替换成cmd.exe，这样就可以实现在登录界面上按5下shift键直接呼出一个系统权限的cmdshell窗口，执行任意指令。

牛顿

+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+

…

3楼 大 中 小 发表于 2010-2-4 11:56 只看该作者

早就卸载鸟。

给大家推荐入选google工具箱的，免费杀毒软件avast!

prosup

4楼 大 中 小 发表于 2010-2-4 12:32 只看该作者

试图将标题写到qq的签名上，居然屡次更新失败，被迫搞了句chinglish才成功……

lamborbikini

该用户已被删除

5楼 大 中 小 发表于 2010-2-4 12:46 只看该作者

近日工信部携农业部发表声明，联合开展打击低俗农产品行动。其中：鸭梨、伊丽莎白瓜因颜色涉黄，被责令削皮售卖;黄瓜、胡萝卜等外形低俗的蔬菜一律切片整顿。同时，有关负责人指出，鉴于香蕉颜色外形都严重违规，将依法坚决取缔，并对境内相关果园采取焚毁处理，还百姓一个健康的市场。

becom

“抢救运动”办公室借调人员、同萌会资深会员

6楼 大 中 小 发表于 2010-2-4 13:01 只看该作者

360推出免费杀毒软件让很多人不爽，才造的这种谣言吧！

02304H

10001100000100B

7楼 大 中 小 发表于 2010-2-4 13:12 只看该作者

回复 6楼 becom 的话题

我以为360和瑞星一样娱乐

免费杀软又不是只有360一家

再者，他和bitdefender签的协议也不是永久的吧，到期了咋办

以前360也和卡巴合作过，现在不是也没有了么

devymex

Devymex真身，Twitter: @devymex

8楼 大 中 小 发表于 2010-2-4 13:19 只看该作者

引用:

原帖由 becom 于 2010-2-4 13:01 发表

360推出免费杀毒软件让很多人不爽，才造的这种谣言吧！

免费的杀软多了去了，Avira、AVG、BitDefender、COMODO……免费算个P！还有开源的呢，ClamWin、Moon Secure，听说过吗？

强烈支持大家使用国外的免费、开源的杀毒软件，怀疑你是360枪手。

左岸←右岸

把你的子宫钉到我的墙上，这样我便会记得你。我们必须走了。明天，明天…

9楼 大 中 小 发表于 2010-2-4 13:33 只看该作者

这事国产软件都有分一杯羹的吧·······

恩 国外杀毒软件何时被招安呢 ·······

要价太高了吗

“202万怎么样？”

xfirepuma

10楼 大 中 小 发表于 2010-2-4 14:12 只看该作者

一年花个50来块钱整个卡巴斯基或者nod32，墙用pctools

啥都不要烦了。

电脑高手就用小红伞加毛豆，根本不花一分钱。

鬼鬼

宽容、理性、建设

11楼 大 中 小 发表于 2010-2-4 14:24 只看该作者

呵呵，现在关于360的谣言很大程度是某些娱乐公司搞出来的，可信度极低。

devymex

Devymex真身，Twitter: @devymex

12楼 大 中 小 发表于 2010-2-4 14:25 只看该作者

引用:

原帖由 左岸←右岸 于 2010-2-4 13:33 发表

这事国产软件都有分一杯羹的吧·······

恩 国外杀毒软件何时被招安呢 ·······

要价太高了吗

“202万怎么样？”

哈哈，看过《大史记》的兄弟会心一笑。

匿名用户

很久很久很久很久很久很久很久很久很久以前，头衔是很长很长很长

13楼 大 中 小 发表于 2010-2-4 14:32 只看该作者

引用:

原帖由 devymex 于 2010-2-4 13:19 发表

免费的杀软多了去了，Avira、AVG、BitDefender、COMODO……免费算个P！还有开源的呢，ClamWin、Moon

Secure，听说过吗？

强烈支持大家使用国外的免费、开源的杀毒软件，怀疑你是360枪手。

你列的那些全是贵国之外的产品，360在贵国中老年等it知识水平较薄弱人群还是很有市场的。

贵国人士只喜欢“终极版”，“企业版”，“高级版”等尖端科技，宁用盗版的，也不用正版的“入门版”，“基本版”……至于Clamwin这类烂到渣的，开不开源有个P用。

02304H

10001100000100B

14楼 大 中 小 发表于 2010-2-4 14:35 只看该作者

回复 13楼 匿名用户 的话题

360杀毒本质上也不是贵国产品……

avast也有中文版啊

bilei911

15楼 大 中 小 发表于 2010-2-4 17:27 只看该作者

偶是裸奔上网，除非天朝策反了微软，那就无解啦

瘋僧

16楼 大 中 小 发表于 2010-2-4 17:51 只看该作者

最好是换成ubuntu+chrome+avast

四不象

17楼 大 中 小 发表于 2010-2-4 22:43 只看该作者

这个不太靠谱

BTW，我只用HIPS类软件，比如SSM

02304H

10001100000100B

18楼 大 中 小 发表于 2010-2-4 22:58 只看该作者

回复 16楼 瘋僧 的话题

linux不装杀软也罢……

sqrurutia

19楼 大 中 小 发表于 2010-2-4 23:13 只看该作者

开源的系统就用不到杀软了，防火请足矣。360我一直以为是流氓软件，难道不是吗？

鼠标土豆

古典自由主义土豆

20楼 大 中 小 发表于 2010-2-5 00:34 只看该作者

有没有人用微软杀毒的？

becom

“抢救运动”办公室借调人员、同萌会资深会员

21楼 大 中 小 发表于 2010-2-5 07:31 只看该作者

引用:

原帖由 鼠标土豆 于 2010-2-5 00:34 发表

有没有人用微软杀毒的？

举手！偶用MSE。

科比麦迪

22楼 大 中 小 发表于 2010-2-5 07:48 只看该作者

无所谓了 咱是良好市民 没有啥见不得人的 就用个国产免费的360吧

philips478

23楼 大 中 小 发表于 2010-2-5 08:10 只看该作者

引用:

原帖由 四不象 于 2010-2-4 22:43 发表

这个不太靠谱

BTW，我只用HIPS类软件，比如SSM

SSM WIN7上不能用…郁闷……

ciscoxp

24楼 大 中 小 发表于 2010-2-5 08:17 只看该作者

nod32也挺好用的

江南的雨季

My Blog:Jitler.Com Twitter:@yxzjn

25楼 大 中 小 发表于 2010-2-5 08:34 只看该作者

引用:

原帖由 牛顿 于 2010-2-4 11:56 发表

早就卸载鸟。

给大家推荐入选google工具箱的，免费杀毒软件avast!

avast!确实不错

sjzwyb

26楼 大 中 小 发表于 2010-2-5 08:53 只看该作者

引用:

原帖由 lamborbikini 于 2010-2-4 12:46 发表

近日工信部携农业部发表声明，联合开展打击低俗农产品行动。其中：鸭梨、伊丽莎白瓜因颜色涉黄，被责令削皮售卖;黄瓜、胡萝卜等外形低俗的蔬菜一律切片整顿。同时，有关负责人指出，鉴于香蕉颜色外形都严重违规，将依

…

+1984

thatsall

27楼 大 中 小 发表于 2010-2-5 09:24 只看该作者

小红伞，win7自带墙，就不错了

Evey

Malo periculosam libertatem quam quietum servitium

28楼 大 中 小 发表于 2010-2-5 10:27 只看该作者

只用小红伞。我卸掉了360和瑞星之后还发现有个spyware doctor，貌似是系统自带的。

四不象

29楼 大 中 小 发表于 2010-2-5 11:04 只看该作者

引用:

原帖由 philips478 于 2010-2-5 08:10 发表

SSM WIN7上不能用…郁闷……

用Sandboxie或者Comodo

老月

30楼 大 中 小 发表于 2010-2-5 11:11 只看该作者

工信部工作组入驻一家民企本身就不是什么好事，就凭这就卸载360

stibfire

31楼 大 中 小 发表于 2010-2-5 11:27 只看该作者

引用:

原帖由 becom 于 2010-2-4 13:01 发表

360推出免费杀毒软件让很多人不爽，才造的这种谣言吧！

可能你不知道，奇虎公司的另一个项目是“网络舆情监测系统”。

真正的深入浅出

32楼 大 中 小 发表于 2010-2-5 13:30 只看该作者

争了半天，驴唇不对马嘴！360最大的功能是防木马，不是杀毒！

到底360有没有后门啊？

无穷无尽

33楼 大 中 小 发表于 2010-2-5 13:32 只看该作者

杯具！我用的就是360卫士+avast

热衷八卦

34楼 大 中 小 发表于 2010-2-5 13:35 只看该作者

假的吧

精彩在wall

35楼 大 中 小 发表于 2010-2-5 20:33 只看该作者

话说瑞狮和奇虎本来就是一路货色，瑞狮怎么会揭奇虎的底呢？不觉得奇怪么？

特昂

36楼 大 中 小 发表于 2010-2-5 23:36 只看该作者

嗑毛豆套装试用中。。。。。。