和世界上許多人一樣,當我看到微軟髮布最新版的IE7時,毫不猶豫的選擇了安裝。雖然我曾經是一
名忠實的Firefox擁護者,但作為一名開發者的總是喜歡嘗試各種不同類型的技術。這就是為什麼我對安
裝IE7感興趣的原因。
在繼續IE的安裝過程中,軟件要求對Windows進行正版驗證,當時唯一的感覺就是無語,繼而無奈並接受
現實。
因為許多關於WGA的醜聞依然在我腦海裡記憶猶新,因此我非常好奇微軟到底對我的Windows系統進行正
版驗證的時候都幹了些什麼呢?
於是從網上下載了2個軟件:用於系統文件檢測的filemon和註冊表檢測的regmon,通過這兩個軟件,我們
可以看看該IE7安裝程序到底都幹了些什麼。
文件和註冊表訪問
在檢測過程中,安裝程序進行正版驗證時候的大多數訪問都是一些相當常規的操作,但是有一些操作讓
我感到莫明其妙,甚至有的我個人認為根本就不幹它們任何事!
文件訪問
就在進行文件訪問的時候,一些古怪的事情發生了。第一個吸引我的注意力的就是,安裝程序訪問了
C:\WINDOWS\system32\ OEMInfo.ini中的信息。這個ini文件包含了我的系統製造商的所有信息。在我這
裡,我使用的是一套DELL的機子,而這個文件中包含了我的電腦的製造商、模塊、service tag以及
express service code。
另一個非常有趣的文件就是C:\WINDOWS\system32\legitcheckcontrol.dll,這個文件頻繁被進行讀取。
當我使用 WinHex編輯器查看這個文件的時候,我發現一個關於硬件製造商的清單,還有一個網站地
址:http: //stats.update.microsoft.com/reportingwebservice/reportingwebservice.asmx。我不敢
確定是否該文件被用來向微軟報告硬件使用信息。
在這個文件中,還嵌入了另外一些網站地址,其中大多數要求身份驗證,但是,有兩個地址相當可疑:
http://www.microsoft.com/SoftwareDistribution/Server/IMonitorable
http://www.microsoft.com/SoftwareDistribution/ReportEventBatch
在IE 安裝過程驗證過程中頻繁引起注意的就是一個叫做ligitlibm.dll文件。在十六進制文件編輯器中
,它顯示出許多貌似針對程序員的代碼。但是,真正吸引我目光的是一個網站地址:
http://go.microsoft.com/fwlink/?LinkId=33171LegitCheckError=。同樣,大家可以猜測到這個連接
的目的是用於向微軟報告信息。
在驗證過程中,文件系統並不是唯一被檢查和修改的,註冊表同樣產生了4216條讀寫信息報告!和文件系
統訪問一樣,大多數操作是非常常規的,但是,還有一些檢查的信息我認為非常不正常!
這是驗證程序在註冊表中所訪問一些的項:
Certificate Information
證書信息
機器的唯一ID
會話信息
系統架構
處理器種類和模型
伺服器
內部網域名
機器名稱
TCP/IP安裝
大家的情況我不知道,但是我認為這種驗證方式所採集的信息有點過了,尤其是微軟在驗證軟件中嵌入
了許多指向微軟站點的地址。
總結
在大家進行IE7安裝過程中,屏幕的背後發生了許多你所不知道的事情。這個小小的實驗希望能夠引起大
家的注意。不過,微軟作為國際第一大軟件公司,牽涉到千萬人的利益,又怎麼會做出竊取用戶隱私的
行為呢?我們在這裡的這個實驗,只是希望能給大家敲一個警鐘,把計算機信息安全要時刻關注起來!
::49:
