老大!请注意!!
迅雷是最大的盗链根源!
请不要再用迅雷之类的下载工具了,可以改用快车。
我看好多人都连接不上,需要长时间在线等,我发现坛子里面提供迅雷下载,要是直接连接到服务器的话,会是个灾难,因为迅雷的盗链
请看下面的这个帖子
声明:转贴!转自 思路论坛 午夜牛郎黄一刀
对于迅雷运行观测的分析报告
引用:
论坛的健康发展离不开我们大家的努力,珍惜论坛资源,远离迅雷!写这个帖子的原因是这几天关于迅雷的争论开始多了起来。特别是今天和一位路友yj10110讨论了一些迅雷技术的细节之后,
一扒到底看个究竟的好奇之心再次上来了。由于我自己对迅雷的印象已是半年之前,没有根据不好多说话,所以还是自己动手来实验吧。
首先去迅雷网站下载了迅雷官方最新版5.7x版。下载安装时有不少选项,什么看看,不看看的插件,一律不安装。google toolbar等一律无视。
装完之后去下了微软提供的系统监测工具Procmon。
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
由于Procmon会截取windows中所有的消息,所以为了更清楚的监测迅雷的动作,
还是需要自定义Filter,选择菜单-》Filter,输入自己关心的属性,于是检测的范围就小了许多。
见下图。
002.jpg
(234.42 KB)
2008-3-3 22:27
开始监测
首先注意到,在装完迅雷之后,迅雷往update/目录底下写入一堆kankantop.exe的东西。
猜测这是不是就是刚才不想安装的插件,不想装的也给。。。。。。。
003.jpg
(279 KB)
2008-3-3 22:31
然后就发现迅雷一直在反复试图往windows/底下写入configure.ini文件
见下图蓝标处。
005.jpg
(294.65 KB)
2008-3-3 19:23
发现一个比较有意思的现象,迅雷在不停的读取迅雷安装目录/Ad/底下的10几个Flash文件,
几乎是每几秒就去读一下。。。。Ad是广告的缩写词,应该是迅雷上下左右的广告栏。
这个也无可厚非,就是刷新频率也太高了点。
006.jpg
(320 KB)
2008-3-3 19:32
随便找了个资源开始下吧,从下图中可以很清楚的看到ftp链接以明码标记在我的桌面上
建立了一个隐含文件。
007.jpg
(295.2 KB)
2008-3-3 19:37
有意思的事情终于来了。。。。看下图,迅雷正在对desktop和Program Files这两个目录进行读写操作。
我不知道我有没有授权这两个目录(很抱歉用的日文系统图中的swordwu/デスクトップ就是desktop的意思)
008.jpg
(256.72 KB)
2008-3-3 19:43
再看看这个,我不知道迅雷访问我的IE Favourite(就是收藏夹)干什么。
009.jpg
(274.73 KB)
2008-3-3 19:52
接下去就开始搞笑了,居然访问我机器上的wordpad.exe,居然连这个文字处理器也不放过吗?
010.jpg
(291.71 KB)
2008-3-3 19:55
再看看这个,对windows系统目录查询操作的记录清晰可见.
011.jpg
(247.38 KB)
2008-3-3 20:03
开始大批量下载种子文件了,下载速度的确非常之快,而且在下载的时候迅雷还是尽职的。
满屏幕的write,除了往迅雷指定的用户配置文件UserConfig.ini里写记录之外没有发现什么多余的操作。
看来多任务优先级定的很有针对性。为了保证网络下载速度快,多余的操作是绝对要回避的。
顺便提个小插曲,记得有些文章说迅雷上传不封顶,试验了一下设为上传200KB,
用FinitySoft Netowork Monitor监视,始终浮动在150KB-300KB之间,考虑到由于缓存带来的统计误差,
这个结果可以接受。
012.jpg
(46.16 KB)
2008-3-3 22:43
继续。。。。。。。。。。。。
由于测到一半,Process Monitor崩溃。
只记录了大半的Log,那么就来重启动迅雷一下继续观测吧。
终于,过去一些网友指出的扫描目录问题终于彻底暴露了,见下图,从C:到C:\Document
再到windows系统目录,迅雷扫了个彻彻底底,这和一开始躲躲藏藏的掩饰手法不同,再启动
之后几乎有些赤裸裸了。
020.jpg
(248.03 KB)
2008-3-4 10:06
我不禁有些头疼了,让我们来做个实验吧。
我把一个文件复制到我私有的目录C:\swordwu里,
马上迅雷就感知到了我的动作,可以猜想到迅雷在不停的截取windows文件变动的消息队列。
这个和我昨天的预测是完全一致的,迅雷不会傻到去检索所有的文件去对比文件是否有改变,
他只要保持对目录的监控,截取用户的动作即可。
021.jpg
(249.02 KB)
2008-3-4 10:18
另外我又试着拷贝了几个电影文件(非迅雷下载)到迅雷上传目录里,
然后监测了一个小时左右,并未发现有上传迹象。
把所有文件全部删除之后,发现迅雷依然保持着2-4KB/s的上传量。
一开始记录Log的时候忽略了对RegQueryKey的跟踪
有网友指出,迅雷在不停的调用类型于下列的的语句
RegQueryKey HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\adult-engine-search.com
(同上)adult-erotic-guide.net adult-friends-finder.netwww adult-host.org adult-host.orgsexycat adult-mpg.netwww adult777search.info adultfilmsite.comwww adultmovieplus.com adultzoneworld.comwww adwarecommander.com
从其中的关键字可以猜出迅雷在干什么。
迅雷在下载时还是比较规范的,大量集中读写文件,没有多余的操作。
但是在空余的时间内,cid_store.dat, adtask.xml, recored.bin常常1秒钟内就有
7,8次读写操作,这些非共享资源文件的操作极大的占用了cpu和硬盘操作。
总结
确认迅雷干的事
1. 扫描了我的所有目录
2. 能发现我变动的文件
3. 迅雷能记录私人FTP的用户密码,但是否恶用我没有证据,只有自己家用FTP服务器被
迅雷用户侵入过以及过去一些国内下载站点所告发的事例。
4. 不断往system32/里读写cid_store.dat这个文件(几乎占了迅雷3分之一的时间片)
5. 迅雷的广告应该是不断更新去服务器读取数据的,但是占用的流量并不大。
但是由于迅雷的广告是好几个Flash一起运行,所以对系统性能影响还是不小。
6. 由于频繁的非相关性文件操作,相比较BT和eMule而言的确迅雷更耗硬盘。
确认迅雷没有干的事(前提条件是迅雷没有在系统内部动过手脚)
1. 迅雷关闭之后没有上传。
2. 迅雷没有上传非迅雷下载的东西
3. 迅雷没有对上传中的文件大量频繁读写
4. 迅雷没有用超过用户限制的上传带宽上传
感想:
这次的实验已经证明了迅雷软件当中的很多问题。
大量记录系统log(而且是应用软件应该回避的system32目录),大量调用Flash广告,搜索系统所有目录,记录用户文件操作,
将私人FTP信息上传等。
qwe兄提到的cid_store.dat这个文件上传共享文件是没有异议的,但是用户的隐私文件有没有被上传,我无法得知,
因为我在删除了上传文件之后,始终还有2-4KB的上传量。
当然也无法保证,会不会在下载了几天或是几周之后上传。
另外我这次是特地挑了一台机器重装了之后实验的,和大家手上具有大量下载文件
的情况无法比拟。所以这次的实验也是为了大家提供了一个参考的机会。
[ 此贴被lemonle79在2008-03-25 21:51重新编辑 ]
