和世界上許多人一樣,當我看到微軟發布最新版的IE7時,毫不猶豫的選擇了安裝。雖然我曾經是一名忠實的Firefox擁護者,但作為一名開發者的總是喜歡嚐試各種不同類型的技術。這就是為什麽我對安裝IE7感興趣的原因。
在繼續IE的安裝過程中,軟件要求對Windows進行正版驗證,當時唯一的感覺就是無語,繼而無奈並接受現實。
因為許多關於WGA的醜聞依然在我腦海裏記憶猶新,因此我非常好奇微軟到底對我的Windows係統進行正版驗證的時候都幹了些什麽呢?
於是從網上下載了2個軟件:用於係統文件檢測的filemon和注冊表檢測的regmon,通過這兩個軟件,我們可以看看該IE7安裝程序到底都幹了些什麽。
文件和注冊表訪問
在檢測過程中,安裝程序進行正版驗證時候的大多數訪問都是一些相當常規的操作,但是有一些操作讓我感到莫明其妙,甚至有的我個人認為根本就不幹它們任何事!
文件訪問
就在進行文件訪問的時候,一些古怪的事情發生了。第一個吸引我的注意力的就是,安裝程序訪問了C:WINDOWSsystem32OEMInfo.ini中的信息。這個ini文件包含了我的係統製造商的所有信息。在我這裏,我使用的是一套DELL的機子,而這個文件中包含了我的電腦的製造商、模塊、service tag以及express service code。
另一個非常有趣的文件就是C:WINDOWSsystem32legitcheckcontrol.dll,這個文件頻繁被進行讀取。當我使用WinHex編輯器查看這個文件的時候,我發現一個關於硬件製造商的清單,還有一個網站地址:http://stats.update.microsoft.co ... tingwebservice.asmx。我不敢確定是否該文件被用來向微軟報告硬件使用信息。
在這個文件中,還嵌入了另外一些網站地址,其中大多數要求身份驗證,但是,有兩個地址相當可疑:
http://www.microsoft.com/SoftwareDistribution/Server/IMonitorable
http://www.microsoft.com/SoftwareDistribution/ReportEventBatch
在IE安裝過程驗證過程中頻繁引起注意的就是一個叫做ligitlibm.dll文件。在十六進製文件編輯器中,它顯示出許多貌似針對程序員的代碼。但是,真正吸引我目光的是一個網站地址: http://go.microsoft.com/fwlink/?LinkId=33171LegitCheckError=。同樣,大家可以猜測到這個連接的目的是用於向微軟報告信息。
在驗證過程中,文件係統並不是唯一被檢查和修改的,注冊表同樣產生了4216條讀寫信息報告!和文件係統訪問一樣,大多數操作是非常常規的,但是,還有一些檢查的信息我認為非常不正常!
這是驗證程序在注冊表中所訪問一些的項:
Certificate Information
證書信息
機器的唯一ID
會話信息
係統架構
處理器種類和模型
伺服器
內部網域名
機器名稱
TCP/IP安裝
大家的情況我不知道,但是我認為這種驗證方式所采集的信息有點過了,尤其是微軟在驗證軟件中嵌入了許多指向微軟站點的地址。
總結
在大家進行IE7安裝過程中,屏幕的背後發生了許多你所不知道的事情。這個小小的實驗希望能夠引起大家的注意。不過,微軟作為國際第一大軟件公司,牽涉到千萬人的利益,又怎麽會做出竊取用戶隱私的行為呢?我們在這裏的這個實驗,隻是希望能給大家敲一個警鍾,把計算機信息安全要時刻關注起來!
