上一篇,揭露了QQ的一个“公开的秘密”。下面,就以实际来证明QQ的这些行为。
首先,QQ的安装目录中,基本上所有的文件都是经过数字签名,不得不佩服TX办事很认真!而在安装目录中有个Common.dll的动态链接库文 件,下面是该动态链接库调用的函数截图,其中就有枚举磁盘文件所用的FindFirstFile、FindNextFile、FindClose三个组合 函数。
函数在此,我相信是最有力的证据!当然,具体拿这个函数是枚举磁盘所有文件,还是用于其它目的,我不清楚。注意,这是直接调用 Find***系列函数,而不是经过User32.dll调用,User32.dll调用这对函数很正常,因为通用对话框必须要使用这对函数进行枚举文 件。
下图,应该可以说明问题
由图可以看到,QQ访问Messenger目录,我的TOOLS目录,但是访问这些目录的用意就不清楚了。至少,如果我要开发一款软件,我想我是不会跑去枚举跟我不相关的目录文件。
下图是QQ打开Messenger文件截图,我实在是搞不懂,为什么要打开EXE以及其它PE文件。难道是为了确认某个文件是PE格式或者TXT格式或者其它格式,而采用某种算法进行文件分析?
在分析QQ过程中,我还写了一段代码来模仿QQ行为,结果,我可以完全认定,QQ调用OpenFile函数打开文件,并且读取文件内容(不管是二进制文件还是其它类型文件)。截图为证:
请将该截图与上一篇(事件篇)中的图片对比,非常相似。
证明篇就写到这里,我认为,以上分析完全足以证明QQ的罪证。或许,可能是我最先胡乱猜想导致后面的推测与事实不符。但是,有这些证据,我估计我的猜想也不会有很大出入。
大家也可以回想,为什么很多人都在怀疑QQ,为什么曾经国外杀软刚进入中国都“误报”QQ是病毒?这些还需要您自己去体会。
没有评论:
发表评论