教您做一些实验，以破译360度隐私保护者背后的“阴谋”

写完之后，我发现它比预期的要长得多，但是我想请想了解这个问题的朋友耐心地阅读它. 谢谢！

以下四段摘自360官方网站，并为技术奠定了基础:

在Windows中有一个称为CreateFile的系统功能. 应用程序可以调用此系统功能来查看计算机中的文件并操作文件.

以QQ为例. 当用户选择使用360度隐私保护程序来监视用户计算机上QQ的行为时，360度隐私保护器将获得``QQ.exe''，通过监视由CreateFile调用的CreateFile来查看和监视计算机上的文件QQ.exe操作行为.

这时，“ 360 Privacy Protector”仅监视文件上QQ.exe的访问和操作，而不监视随后的访问和操作（如读取，修改，删除等）. 360 Privacy Protector仅获取受保护文件的路径和文件名，而不涉及受保护文件中包含的特定内容.

360 Privacy Protector会在用户计算机上忠实记录QQ.exe对文件的查看，并标记可能涉及用户隐私的文件. 换句话说，“ 360 Privacy Protection”将告诉用户QQ.exe在您的计算机上查看了哪些程序文件，以及哪些文件可能涉及您的隐私. 由用户确定QQ是否侵犯了您的个人隐私.

之后的个人声明:

在过去的几天中，我进行了一些技术学习，事件调查和程序实践.

首先，从技术上讲手机360隐私保护器，稍微解释一下CreateFile函数. 最初，每个人都可能认为这不是创建文件的功能. 它与“偷窥”有关. 其他人QQ创建自己的文件，这是您的360度鸟事. 但这是真的吗？让我们看一下下面的段落: “ CreateFile的意思是在物理磁盘上创建File的内核对象，而不是创建'file'. 在Win32 API中有一系列用于操作内核对象的函数. 用于创建内核对象的函数通常被命名为CreateXxxx type”. 如果这段话有什么问题，请纠正我. 因此，什么是API（Win32是32位Windows，所以我的同龄人必须要压扁我，但我真的不想在这里浪费大家的时间），API是应用程序编程接口，即应用程序编程接口. 好吧，有些人接下来会问“界面”. 最简单的方法是一个示例，每个看到此日志的人都可以理解. 函数CreateFile就像您当前使用的计算机（或终端设备，如手机）一样，“接口”是您使用此计算机（或终端设备，如手机）的“方法”. 当然，您只需要知道如何使用它. 很好，无需担心一系列问题，例如计算机的特定结构和屏幕显示方式. 说了很多与该主题无关的事情，但是我知道许多朋友没有从事IT，因此需要一些时间耐心地解释，这是每个人接受我的观点的基础. 老实说，现在您应该对Windows提供的CreateFile接口功能有所了解，而不是“创建”“文件”，而是对“文件”进行下一步操作的前提. 了解这一点很重要.

这里是主题. 撇开过去几天的一系列事件，我们只关心本文中的一个问题. 实际上，它最终有两个: 一个是360隐私保护器是否故意装裱QQ？然后，自然地，第二个问题将得到扩展. QQ曾经窥探过我们的隐私吗？

先回答第一个. 综上所述，我认为无需对360隐私保护器（以下称为保护器）的工作原理进行更多说明. 是的，一开始，保护器只是基于进程名称（可以使用“正在运行的程序的名称”来让其他朋友更好地理解）以查看这些进程在做什么，例如此进程是否执行了一系列操作，例如“ CreateFile”，以及已对哪些文件或文件夹进行了操作. 请注意，我使用的“开始”和“进程名称”非常重要，并且是整篇文章的核心. 为什么是“开始”？因为大约一个小时前我第一次下载了一个保护器进行实验，发现文章标题中没有提到任何问题，所以我从新闻和其他报道中得知保护器存在问题. 然后是“进程名称”. 正是因为保护程序的开发人员只是根据“进程名称”进行过滤（请注意，此处使用的单词过滤（稍后将使用，非常重要））被其他Handle抓住并向后倾斜. 为什么我要这么多次强调“流程名称”，而无需解释，而要让每个人都做这样的实验:

步骤1: 输入以下路径“ C: \ WINDOWS”，可以找到Windows附带的notepad.exe（不区分大小写）. 请注意，网吧中的朋友可能没有此输入权限，当然，使用手机的朋友无法进行此实验；

第2步: 关闭您正在使用的QQ程序，然后单击“开始”->“运行”，输入taskmgr，确定，然后查看Windows任务管理器. 转到“进程”页面，查找“图像名称”中是否没有“ QQ.exe”进程；

步骤3: 在确认您的QQ已关闭并且Windows任务管理器中确实未找到“ QQ.exe”的过程后，请返回第一步，并更改notepad.exe的名称. qq.exe，您知道下一步该怎么做吗？是的，运行此伪QQ程序手机360隐私保护器，请确保真正更改名称并运行它！因此，现在就转到Windows任务管理器，看看您发现了什么？

第4步: 如果您不相信自己的眼睛，可以关闭此伪QQ程序并进行查看. 或者，将伪QQ的名称改回“ notepad.exe”，然后再次运行以查看是否可以在该过程中找到“ QQ.exe”，但只能找到“ NOTEPAD.exe”.

至此，整个实验结束了. 当然，这只是我们的第一个实验，目的是证明保护者的无罪. 实际上，更令人兴奋的是第二个实验，用于回答第二个问题.

在进行第二个实验之前，我认为有必要进行总结. 实际上就是这种情况: 保护器的开发团队由于时间紧迫（这是QQ管家的事），没有太多测试，因此它忽略了这个细节，导致被发现并使用. 对手. 现在，每个人都应该知道，即使Windows附带的功能强大的Microsoft及其任务管理器也无法将程序与进程名区分开. 我不相信您可以尝试将多个.exe更改为QQ.exe并运行. 让我们看一下Windows任务管理器，看看是否有多个QQ.exe. 好吧，从这一点来说，我也告诉你一个秘密，早期的病毒木马之类的，也伪装成这样！有些朋友必须问，您如何区分两个同名程序？这个问题的答案过于，需要更多的技术基础，因此我在这里不再回答. 如果您有不满意的朋友，可以射击砖块或咨询该领域的专家.

在这里，如果是标题，那么这篇文章快要结束了. 但是，我相信现在有更多的朋友对实验2的答案和第二个问题更感兴趣？

要进行第二个实验，要知道第二个问题的答案，您必须首先做一件事: 在百度中输入“ Process Monitor”（您可以复制过去），首先看一下百科全书，以了解我们的主角过程监视器.

由于这是实验，所以这次它将更加正式.

实验名称: 使用权威的软件Process Monitor来检查该过程在我的计算机上完成了什么

实验的目的: 增强对计算机使用的安全意识，并学习使用非家用软件来检查正在运行的程序在我的计算机中做了什么

实验材料: 可以正常使用的计算机，Windows操作系统（最好是XP，Win7，Vista），Process Monitor软件，官方QQ软件，官方MSN以及其他一些即时聊天软件

实验步骤:

1. 下载并安装过程监视器（中英文版本无关紧要），QQ，MSN，Fetion等程序，然后确保QQ，MSN，Fetion未运行（请注意，在将其他程序更改为此名称之前，可以”）.

2. 运行Process Monitor程序（请确保运行保护程序，如果您不方便，朋友可以同时在两台计算机上运行），则将在开始时弹出“ Process Monitor Filter”窗口，即设置过滤. 第一个下拉菜单，选择“进程名称”（我们最感兴趣的进程名称），第二个下拉菜单，选择“开头为”（即如何检索关键字），第三个菜单，直接输入“ QQ”（不区分大小写）.

3. 第二步之后，单击“添加”以将此过滤条件添加到下面的列表中. 至此，可以解释的是，保护器正在监视QQ，基本上是使用此过滤条件. 添加后，请查看以下列表，是否检查了此过滤条件？确认检查后，单击“确定”. 然后，激动人心的时刻到了. 您将看不到任何进程，因为您尚未运行QQ（或伪QQ）程序.

4. 现在，每个人都应该知道该怎么办？正确！只需运行QQ，请记住，不要先登录. 此时，Process Monitor中是否有东西？没关系，不是很多，仔细查看“路径”可以发现QQ不会“窥视”我们的隐私文件. 当然，保护器还会显示“尚未发现它可能涉及您的隐私项. ”

5. 好了，每个人都可以登录. 保护者说应该从QQ登录开始起保持5分钟，然后我们将等待（实际上，我的计算机具有4G内存，只花了3分钟）. 好了，五分钟了，接下来要做的就是慢慢比较，对比. 查看哪些文件是由QQ创建的，例如“ CreateFile”. 没吓到你吗？是的，“可能涉及您的隐私”远远超出了保护者的举报，例如，可能有Cookie，可能您浏览了XX张图片，您观看了XX张视频（嘿）.

6. 在这一点上，我提到的第二个问题不需要太多回答. 让我们做另一件事，关闭这个真正的QQ，这个QQ一直在偷窥并且从未发现，然后使用Process Monitor中的快捷键“ Ctrl + X”清除日志（需要保留它作为证据的朋友可以首先保存它）. . 确认没有新日志后，打开我们在实验1中使用的伪QQ程序（有关详细信息，请参阅实验1），然后查看Process Monitor. 我不会在这里解释结果.

7. 别忘了，实验只能进行更多的比较才有意义. 例如，运行我们准备好的飞信和MSN，以查看它们在登录后的工作.

8. 顺便说一句，登录QQ后，什么也不做，然后在Process Monitor中的过滤条件中添加防病毒软件，以查看QQ是否比防病毒软件更忙.

现在是时候完成整篇文章了. 是的，每个人现在都应该可以自己执行操作来监视计算机上某些进程的行为. 也许您对我是否是360射击游戏更感兴趣. 只有一个答案，我不是. 作为技术人员，我从技术角度来讲，尝试尽可能地还原一件事的真相. 作为技术人员，而不是商人，他无法像他一样赚钱. 作为技术人员，他有责任使用他所学的知识向所有人解释现象.

今天在撰写本文时，除了有责任感的朋友，这是永远不能原谅的！作为IM软件，我秘密扫描了计算机上只能扫描防病毒软件的位置，但我仍然不认识它. 我还使用了另一个人的过失（进程名称）进行回击. 这样的人没有国王的气质. 有人把他比作曹操，我认为他只能算是董卓. 真正的曹操还没有出现，因为还没有与董新文发表讨论的人出现了.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-273685-1.html