Board logo

标题: [电脑] 前阵讨论迅雷挺多的,转一篇silu上的迅雷运行观测分析 [打印本页]
作者: clark99    时间: 2008-3-7 11:13     标题: 前阵讨论迅雷挺多的,转一篇silu上的迅雷运行观测分析

对于迅雷运行观测的分析报告,更新完毕写这个帖子的原因是这几天关于迅雷的争论开始多了起来。
特别是今天和一位路友yj10110讨论了一些迅雷技术的细节之后,
一扒到底看个究竟的好奇之心再次上来了。
由于我自己对迅雷的印象已是半年之前,没有根据不好多说话,
所以还是自己动手来实验吧。

首先去迅雷网站下载了迅雷官方最新版5.7x版。
下载安装时有不少选项,什么看看,不看看的插件,一律不安装。
google toolbar等一律无视。

装完之后去下了微软提供的系统监测工具Procmon。
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

由于Procmon会截取windows中所有的消息,所以为了更清楚的监测迅雷的动作,
还是需要自定义Filter,选择菜单-》Filter,输入自己关心的属性,于是检测的范围就小了许多。
见下图。

002.jpg (234.42 KB)
2008-3-3 22:27




开始监测
首先注意到,在装完迅雷之后,迅雷往update/目录底下写入一堆kankantop.exe的东西。
猜测这是不是就是刚才不想安装的插件,不想装的也给。。。。。。。

003.jpg (279 KB)
2008-3-3 22:31




然后就发现迅雷一直在反复试图往windows/底下写入configure.ini文件
见下图蓝标处。

005.jpg (294.65 KB)
2008-3-3 19:23




发现一个比较有意思的现象,迅雷在不停的读取迅雷安装目录/Ad/底下的10几个Flash文件,
几乎是每几秒就去读一下。。。。Ad是广告的缩写词,应该是迅雷上下左右的广告栏。
这个也无可厚非,就是刷新频率也太高了点。

006.jpg (320 KB)
2008-3-3 19:32




随便找了个资源开始下吧,从下图中可以很清楚的看到ftp链接以明码标记在我的桌面上
建立了一个隐含文件。

007.jpg (295.2 KB)
2008-3-3 19:37




有意思的事情终于来了。。。。
看下图,迅雷正在对desktop和Program Files这两个目录进行读写操作。
我不知道我有没有授权这两个目录(很抱歉用的日文系统图中的swordwu/デスクトップ就是desktop的意思)

008.jpg (256.72 KB)
2008-3-3 19:43




再看看这个,我不知道迅雷访问我的IE Favourite(就是收藏夹)干什么。

009.jpg (274.73 KB)
2008-3-3 19:52




接下去就开始搞笑了,居然访问我机器上的wordpad.exe,居然连这个文字处理器也不放过吗?

010.jpg (291.71 KB)
2008-3-3 19:55




再看看这个,对windows系统目录查询操作的记录清晰可见.

011.jpg (247.38 KB)
2008-3-3 20:03




开始大批量下载种子文件了,下载速度的确非常之快,而且在下载的时候迅雷还是尽职的。
满屏幕的write,除了往迅雷指定的用户配置文件UserConfig.ini里写记录之外没有发现什么多余的操作。
看来多任务优先级定的很有针对性。为了保证网络下载速度快,多余的操作是绝对要回避的。

顺便提个小插曲,记得有些文章说迅雷上传不封顶,试验了一下设为上传200KB,
用FinitySoft Netowork Monitor监视,始终浮动在150KB-300KB之间,考虑到由于缓存带来的统计误差,
这个结果可以接受。

012.jpg (46.16 KB)
2008-3-3 22:43




继续。。。。。。。。。。。。
由于测到一半,Process Monitor崩溃。
只记录了大半的Log,那么就来重启动迅雷一下继续观测吧。
终于,过去一些网友指出的扫描目录问题终于彻底暴露了,见下图,从C:到C:\Document
再到windows系统目录,迅雷扫了个彻彻底底,这和一开始躲躲藏藏的掩饰手法不同,再启动
之后几乎有些赤裸裸了。


020.jpg (248.03 KB)
2008-3-4 10:06




我不禁有些头疼了,让我们来做个实验吧。
我把一个文件复制到我私有的目录C:\swordwu里,
马上迅雷就感知到了我的动作,可以猜想到迅雷在不停的截取windows文件变动的消息队列。
这个和我昨天的预测是完全一致的,迅雷不会傻到去检索所有的文件去对比文件是否有改变,
他只要保持对目录的监控,截取用户的动作即可。

021.jpg (249.02 KB)
2008-3-4 10:18




另外我又试着拷贝了几个电影文件(非迅雷下载)到迅雷上传目录里,
然后监测了一个小时左右,并未发现有上传迹象。
把所有文件全部删除之后,发现迅雷依然保持着2-4KB/s的上传量。

一开始记录Log的时候忽略了对RegQueryKey的跟踪
有网友指出,迅雷在不停的调用类型于下列的的语句
RegQueryKey HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\adult-engine-search.com
(同上)adult-erotic-guide.net adult-friends-finder.netwww adult-host.org adult-host.orgsexycat adult-mpg.netwww adult777search.info adultfilmsite.comwww adultmovieplus.com adultzoneworld.comwww adwarecommander.com
从其中的关键字可以猜出迅雷在干什么。

迅雷在下载时还是比较规范的,大量集中读写文件,没有多余的操作。
但是在空余的时间内,cid_store.dat, adtask.xml, recored.bin常常1秒钟内就有
7,8次读写操作,这些非共享资源文件的操作极大的占用了cpu和硬盘操作。


总结
确认迅雷干的事
1. 扫描了我的所有目录
2. 能发现我变动的文件
3. 迅雷能记录私人FTP的用户密码,但是否恶用我没有证据,只有自己家用FTP服务器被
迅雷用户侵入过以及过去一些国内下载站点所告发的事例。
4. 不断往system32/里读写cid_store.dat这个文件(几乎占了迅雷3分之一的时间片)
5. 迅雷的广告应该是不断更新去服务器读取数据的,但是占用的流量并不大。
但是由于迅雷的广告是好几个Flash一起运行,所以对系统性能影响还是不小。
6. 由于频繁的非相关性文件操作,相比较BT和eMule而言的确迅雷更耗硬盘。

确认迅雷没有干的事(前提条件是迅雷没有在系统内部动过手脚)
1. 迅雷关闭之后没有上传。
2. 迅雷没有上传非迅雷下载的东西
3. 迅雷没有对上传中的文件大量频繁读写
4. 迅雷没有用超过用户限制的上传带宽上传

感想:
这次的实验已经证明了迅雷软件当中的很多问题。
大量记录系统log(而且是应用软件应该回避的system32目录),大量调用Flash广告,搜索系统所有目录,记录用户文件操作,
将私人FTP信息上传等。

qwe兄提到的cid_store.dat这个文件上传共享文件是没有异议的,但是用户的隐私文件有没有被上传,我无法得知,
因为我在删除了上传文件之后,始终还有2-4KB的上传量。
当然也无法保证,会不会在下载了几天或是几周之后上传。

另外我这次是特地挑了一台机器重装了之后实验的,和大家手上具有大量下载文件
的情况无法比拟。所以这次的实验也是为了大家提供了一个参考的机会。

大家讨论吧
作者: cc0128    时间: 2008-3-7 11:23

确认迅雷没有干的事(前提条件是迅雷没有在系统内部动过手脚)
1. 迅雷关闭之后没有上传。
2. 迅雷没有上传非迅雷下载的东西
3. 迅雷没有对上传中的文件大量频繁读写
4. 迅雷没有用超过用户限制的上传带宽上传


:D
作者: fadeaway    时间: 2008-3-7 11:28

我用的太监版迅雷,除了下载,其他功能全被阉了
作者: jun4rui    时间: 2008-3-7 11:30

引用:
原帖由 fadeaway 于 2008-3-7 11:28 发表
我用的太监版迅雷,除了下载,其他功能全被阉了
求地址
作者: fadeaway    时间: 2008-3-7 11:32

引用:
原帖由 jun4rui 于 2008-3-7 11:30 发表

求地址
早期多特版的,一点广告都没有,不知道现在有没有

[ 本帖最后由 fadeaway 于 2008-3-7 11:34 编辑 ]
作者: 旁观饭    时间: 2008-3-7 11:36

所以才不要用迅雷下FTP啊
作者: 心之一方    时间: 2008-3-7 11:46

曾流氓
作者: 为何不分手    时间: 2008-3-7 11:46

  不到万不得以 不用讯雷
作者: n2    时间: 2008-3-7 11:57

所谓的迅雷国际版 是不是好些?、

lz 去测试下?
作者: aweiwei    时间: 2008-3-7 12:25

流氓就流氓吧。反正下载用的是单位的机器。下载完传到台式机里。
作者: 左右中    时间: 2008-3-7 12:27

但是你关不掉啊……我关了迅雷看进程,thunder.exe照样在
作者: leica    时间: 2008-3-7 12:46

ls的用的是最新的版本的么。。。。。。。。。。。。。。。。。。。
作者: bzjian    时间: 2008-3-7 12:51

:D:D:D
作者: 牛仔很忙    时间: 2008-3-7 12:57

随便迅雷怎么搞吧 刚用VISTA的时候 用了很多BT软件修改TCP很是麻烦速度还是不稳定 当无意识用到迅雷下载BT 看到那速度泪流满面
作者: 6533186dc    时间: 2008-3-7 13:39

很流氓!
作者: dragong    时间: 2008-3-7 13:43

立刻卸载迅雷……
求推迅雷替代品,不用BT和ED功能~
作者: eva3d    时间: 2008-3-7 14:20

刚才照LZ的跟踪了一下,发现迅雷有扫描磁盘和文件夹的行为,但是所有上传的文件全是我用迅雷下载的,如果我用剪切的方式将其移走,而不是在迅雷里面移动文件,则迅雷给出了无数找不到文件的信息,并未尝试搜索文件,至少监视了半小时,再无此文件上传记录
作者: 久多良木健    时间: 2008-3-7 14:38

引用:
原帖由 dragong 于 2008-3-7 13:43 发表
立刻卸载迅雷……
求推迅雷替代品,不用BT和ED功能~
目前软件没有可以代替迅雷的速度:D
不求速度有好多可以代用的了
作者: ofanjx    时间: 2008-3-7 17:46

我用aya去广告版,下玩直接关掉,好像比较ok
作者: 大树懒    时间: 2008-3-7 18:25

我还是觉得迅雷挺好的
作者: 孤高的套套    时间: 2008-3-7 18:30

完全是抢手写的

做不过讯雷 就开始怎么样怎么样的攻击
讯雷还能窃取账号密码 傻瓜才信

它要是尝试修改系统文件
杀毒软件早就报警了
作者: czie    时间: 2008-3-7 18:37

迅雷 速度是快,
不得不用它
作者: vansky    时间: 2008-3-7 20:20

迅雷记录FTP帐号这个靠谱的,有时你在某个论坛买的FTP流量莫名减少了,你可以考虑下FTP的时候先关上迅雷
作者: iorilu    时间: 2008-3-7 20:44

反正utorrent下bt,emule下电驴,迅雷专门下http的
作者: n2    时间: 2008-3-7 21:11

有的http xunlei还真下不了。


而且单线的东西  FG 怎么说也能自己手动设定不同地址来获取


目前来说 我还真的没有说很依赖xunlei
作者: Dox    时间: 2008-3-7 21:27

迅雷还是不错的,有些死链也能下,不过有时候下的不是原始文件
作者: westlost    时间: 2008-3-7 22:18

楼主用官方版的测试没有什么意义
有ayu版的试试不就行了
反正我用卖咖啡把系统盘的目录都给锁了,产生不了acid store什么那个文件
作者: mame    时间: 2008-3-7 22:27

楼主要有兴趣再试试监控QQ吧,更有趣。

天朝是一片神奇的土地啊……
作者: rb    时间: 2008-3-7 22:30

引用:
原帖由 孤高的套套 于 2008-3-7 18:30 发表
完全是抢手写的

做不过讯雷 就开始怎么样怎么样的攻击
讯雷还能窃取账号密码 傻瓜才信

它要是尝试修改系统文件
杀毒软件早就报警了
人家都把监视的程序和过程写出来的,可以验证,我看不像枪手。
作者: 升值器    时间: 2008-3-7 22:34

呵呵,这个无损于迅雷的占有量
作者: 半熟英雄    时间: 2008-3-7 23:26

一直用WEB讯雷了。
作者: n2    时间: 2008-3-7 23:54

引用:
原帖由 Dox 于 2008-3-7 21:27 发表
迅雷还是不错的,有些死链也能下,不过有时候下的不是原始文件
那么有时候其实就有点问题了。。
作者: lawson    时间: 2008-3-8 00:14

我电脑小白,就知道迅雷快,有时候吃过晚饭,突然想看个电影300M-400M,点开下载,然后和老婆去散步半小时回来就可以看了……我想我真没用过BT可以行。
作者: 那巴尔    时间: 2008-3-8 11:05

呃,迅雷下得就是快,有电驴用户给你们上传着呢,爽吧?
作者: jun4rui    时间: 2008-3-8 11:10

引用:
原帖由 n2 于 2008-3-7 23:54 发表


那么有时候其实就有点问题了。。
可以选择下载原始文件的。其实我最不满意的就是下雨林木风的Ghost Win2000,迅雷老自动给你引导到有病毒的版本上去,这个太恶搞了,还要手动选择从原始站点下载……
作者: saintwei    时间: 2008-3-8 11:39

迅雷在VISTA下下BT大概是最快的。
作者: 比卡丘    时间: 2008-3-8 15:31

我就用这一个下载工具
作者: 藕是张力    时间: 2008-3-8 15:43

引用:
原帖由 那巴尔 于 2008-3-8 11:05 发表
呃,迅雷下得就是快,有电驴用户给你们上传着呢,爽吧?
迅雷难道不给电驴用户上传?

233逻辑
作者: FCUKBM    时间: 2008-3-8 15:48

bt emule http都能用,多好啊
作者: 藕是张力    时间: 2008-3-8 15:49

引用:
原帖由 Dox 于 2008-3-7 21:27 发表
迅雷还是不错的,有些死链也能下,不过有时候下的不是原始文件
那是因为原始链接的文件改了,或者原始链接指向本身就是错误的

前一阵子PSP战神不还下到DJMAX嘛:D

[ 本帖最后由 藕是张力 于 2008-3-8 15:51 编辑 ]
作者: 网上的final    时间: 2008-3-8 16:01

还是很喜欢迅雷的,最近攻击他的文章确实多了点。。
作者: 那巴尔    时间: 2008-3-8 16:45

引用:
原帖由 藕是张力 于 2008-3-8 15:43 发表


迅雷难道不给电驴用户上传?

233逻辑
80%以上给雷友吧
剩下的施舍给驴友:D
作者: cc0128    时间: 2008-3-8 16:52

电骡那么大个反吸血。
另外迅雷只要你开着就会上传。不过基本上对正常上网可以忽略不计。。但是玩网游的时候还是要关掉
作者: rosebreak    时间: 2008-3-8 23:52

最近碰到很多问题 开着迅雷 即使没有下东西 但是ping路由器的ip就是网关 丢包很严重 把迅雷关了以后 马上就正常了。客户也试过 开着迅雷 然后局域网ping网关就丢包严重



欢迎光临 TGFC Lifestyle (http://tgfcer.com/) Powered by Discuz! 6.0.0