北京時間11月5日消息，國內知名第三方反病毒機構瑞星最新發(fā)布的技術分析報告證實，扣扣保鏢除了擁有其宣稱的11大類可見功能之外，至少還存在4個隱藏功能，這些功能僅針對QQ，且都具有用戶不可見、不可控制等特性。這些隱藏功能隨時處于活動狀態(tài)，并且可由360公司遠程開啟。

 

騰訊科技訊

昨日，曾有媒體報道扣扣保鏢存在四大后門技術，可以隨時遠程開啟。但360對此矢口否認。如今終于得到來自第三方反病毒機構瑞星鐵一般的證實。

以下是報告全文：

360扣扣保鏢為何激怒騰訊？

----瑞星第三方獨立研究報告（一）

2010年10月29日，360公司在京宣布，推出一款名為“扣扣保鏢”的安全工具，全面保護QQ用戶的安全。該工具包括防止隱私泄漏、防止木馬盜取QQ賬號以及給QQ加速等功能。360稱，扣扣保鏢默認不修改QQ任何設置，所有功能都必須由用戶主動選擇觸發(fā)，并可隨時啟用和恢復。

瑞星研發(fā)部門通過對扣扣保鏢（1.0.0.1004版本）主要功能實現(xiàn)模塊QGuard.dll進行分析：發(fā)現(xiàn)該軟件除了擁有其宣稱的11大類可見功能之外，至少還存在4個隱藏功能，這些功能僅針對QQ，且都具有用戶不可見、不可控制等特性。這些隱藏功能隨時處于活動狀態(tài)，并且可由360公司遠程開啟。

扣扣保鏢4個隱藏功能詳細分析

扣扣保鏢除了界面上的可見功能以外，還存在屏蔽QQ軟件升級、劫持騰訊瀏覽器、屏蔽QQ啟動的特定進程列表、備份并恢復QQ軟件等4個隱藏的功能，它們均由Config.ini文件進行開關控制。經分析，該控制文件在扣扣保鏢安裝包中并沒有提供，安裝后也不會自動生成，只可能由360 “云服務器”直接進行遠程投遞（或用戶可以手動生成激活隱藏功能）。也就是說，用戶對于這些隱藏功能均無法控制，而且不了解其激活和生效情況。

技術細節(jié)：

用戶使用扣扣保鏢（1.0.0.1004版本）時，它會把自己的主要功能模塊QGuard.dll通過全局鉤子方式注入騰訊QQ進程，并攔截QQ進程的系統(tǒng)調用ShellExecuteExW和CreateProcessInternalW等，時刻關注Config.ini文件（隱藏功能激活文件），一旦發(fā)現(xiàn)該文件存在，將根據(jù)文件內容進行相關隱藏功能的激活動作。

通過對現(xiàn)有的4個隱藏功能代碼分析，我們可以推測Config.ini文件至少存在以下4種開關：

[Main]

DisableUpdate=1 //自動屏蔽QQ升級，導致用戶不知情的情況下QQ軟件無法升級。

DisableBrowser=1 //劫持QQ對瀏覽器的啟動并替換為360”安全”瀏覽器。

Com=<過濾的進程文件名1>；<過濾的進程文件名2>；……

//自動屏蔽QQ啟動指定鏡像名例表的進程啟動。

enable_repair=1 //開啟備份QQ的參數(shù)：是否開啟彈框引導用戶備份QQ軟件

MaxNotifyCount = 50 //開啟備份QQ的參數(shù)：最多彈框次數(shù)

FirstNotify=1 //開啟備份QQ的參數(shù)： QQ啟動后彈框的時間(秒)

以下為扣扣保鏢QGuard.dll 進行WINDOWS API 攔截及API攔截功能實現(xiàn)的相關代碼

扣扣保鏢在QQ IM進程中攔截相關系統(tǒng)API后將實時監(jiān)控QQIM啟動進程動作（用戶不能使用任何功能設置項進行隱藏功能關閉操作）

隱藏功能一：激活后自動屏蔽QQ軟件升級

該隱藏功能影響域：

該隱藏功能激活后，QQ的安全組件、QQ本身等軟件都不能正常更新升級（用戶毫不知情，也不會得到任何錯誤提示），QQ軟件將變成一個“死”軟件。

以下為扣扣保鏢QGuard.dll在攔截ShellExecuteExW及CreateProcessInternalW后進行的QQ IM啟動升級進程（屏蔽QQ升級）識別及屏蔽升級部分代碼。

如果發(fā)現(xiàn)啟動的是auclt.exe、SelfUpdate.exe和QQSafeud.exe并在Config.ini文件中DisableUpdate=1則將繞開真實系統(tǒng)調用，使QQ升級進程啟動失效。這些操作將對用戶沒有任何提示！

隱藏功能二：激活后根據(jù)指定進程列表進行QQ啟動程序的攔截

該隱藏功能影響域：

該隱藏功能激活后，將根據(jù)360投送的Config.ini里指定的進程名進行QQ啟動程序過濾。這將讓360可以非常方便進行可控的QQ啟動程序攔截。

扣扣保鏢還會嘗試讀取位于安裝目錄下360\360safe\360QGuard\下的Config.ini中Main主鍵下的Com字段（參照上文所述Config.ini結構）。由于Config.ini在默認安裝情況下不存在，在此無法得知具體需要屏蔽的進程，但是通過分析代碼可以得知此字段為一個由“；”分割的一個進程列表。扣扣保鏢將攔截此列表中所有文件名相同的進程的啟動。

以下為QQ啟動程序屏蔽列表部分代碼

以下為：扣扣保鏢QGuard.dll屏蔽列表讀取代碼

除此之外還會在%AppData%的配置文件UserConfig.ini中讀取component字段，其中每一項鏡像名其后的0和1為進程屏蔽開關。

%AppData%\360QGuard\UserConfig.ini內容如下：

[component]

<要阻止的文件名及擴展名>=0|1

隱藏功能三：激活后對QQ軟件的瀏覽器進行劫持（替換成360瀏覽器）

 

該隱藏功能影響域：

該功能激活后，QQ 進程啟動的瀏覽器進程（帶參數(shù)瀏覽URL方式）將被替換成啟動360SE來進行瀏覽（裝著360瀏覽器的情況下）。由于該功能是攔截 API實現(xiàn)，所以無論用戶設置的默認瀏覽是什么，也不論騰訊QQ當前選用哪個瀏覽器都將被劫持成360SE（附：該隱藏功能不單可以劫持TTraveler.exe，QQBrowser.exe，還能根據(jù)升級的配置隨時指定劫持的瀏覽器進程名。）

這樣QQ軟件用戶聊天時帶的所有URL鏈接的瀏覽量將都被360SE獲取。

扣扣保鏢QGuard.dll攔截程序，發(fā)現(xiàn)QQ IM啟動的程序為騰訊的瀏覽器（TTraveler.exe和QQBrowser.exe），且Config.ini文件內容中有DisableBrowser=1，則將QQ IM啟動的瀏覽器自動替換為360的瀏覽器。