可牛發布360平安衛士惡意攔截證據

　　5月25日晚21:30，經歷諸多波折的“可牛免費殺毒”終於上線了，正當可牛公司員工歡欣雀躍之時，萬萬沒有想到的事情發生了。軟件發布還不到5分鐘，就有網友向可牛公司反饋，在安裝可牛免費殺毒時遭遇了360安全衛士的攔截，並提供了一張攔截畫面。可牛公司經過技術分析，發現了360安全衛士惡意攔截可牛免費殺毒軟件的確鑿證據，現將360安全衛士攔截可牛免費殺毒的證據進行公布，包括2個文件證據和1份技術分析說明。

　　360實現競爭對手攔截的過程分析

　　一、360攔截名單大曝光可牛金山傲游一個都不少

　　分析發現，自學教程，360將競爭對手的文件信息保存在c:\360safe\ipc\目錄下（c為系統盤符）的360appd.dat文件中，該文件采用了異或加密手段，5自學網，以防止數據被直接發現。

　　使用010editor或者winhex等16進制編輯工具，可以對360加密數據進行解密，由於360只采用了異或手段，界面過程還是很簡單的。圖1就是包含了可牛免費殺毒特征的360appd.dat文件截圖。

　　圖1：包含了可牛免費殺毒特征的360appd.dat文件截圖

　　由圖1可以清楚的看到，其中包含了“keniu”字樣，就是通過這個特征，360實現對可牛免費殺毒軟件的基本判定。

　　為了防止360趕在這篇文章發布之前毀滅罪證，在可牛免費殺毒論壇（）中提供了兩個360appd.dat文件，“360appd_old.dat”和“360appd.dat”。生成時間分別是2010年5月23日和5月24日，通過分析，可以看到在5月23日的數據中還沒有可牛殺毒的數據，而5月24發布的數據中已經增加了可牛殺毒的數據。可見360是趕在可牛殺毒發布前，就制作好了攔截數據庫，以方便在可牛殺毒發布後，第一時間就開始攔截。

　　更神奇的是，在這個競爭對手名單中，還遠遠不止可牛一家，其中還有金山網盾和傲游浏覽器（maxthon）！

　　圖2：包含了金山網盾特征的360appd.dat文件截圖

　　圖3：包含了“maxthon”特征的360appd.dat文件截圖

　　請看這兩個文件頭信息中的d063部分，根據二進制的算法，我們可以知道這實際為一個數字，而數值為360d，這就是360的數據文件的校驗頭，從而可以確認這兩個文件為360所生成。

　　圖4：“360appd_old.dat”文件頭中包含360的數據文件頭信息

　　圖5：“360appd.dat”文件頭中包含360的數據文件頭信息

　　我們再來看一下這兩個文件的生成時間。“360appd_old.dat”為5月23日生成，無可牛殺毒特征；“360appd.dat”為5月24日生成，包含可牛殺毒特征。我們希望360的這一次升級，不是僅僅為了攔截可牛殺毒。

　　圖6：“360appd_old.dat”為5月23日生成

　　圖7：“360appd.dat”為5月24日生成

　　分析發現，在運行任意一個程序時，360都會進行攔截，如果是競爭對手程序，就對該程序運行進行攔截提示，如果不是競爭對手程序，再去判斷是否為木馬病毒。該邏輯實現在appd.dll中，無需多言，請大家直接看圖：

　　圖8：360在判斷運行的程序是否為可牛免費殺毒

　　圖9：360成功提取可牛殺毒程序特征

　　在上面兩圖中，我們可以清楚的看到可牛殺毒運行時，360進行了攔截，並且成功匹配了360appd.dat中的可牛殺毒的特征。匹配後360開始提取可牛殺毒程序特征，並提交到360雲服務器來判斷是否需要攔截可牛殺毒。

　　圖10:360安全衛士攔截可牛免費殺毒的信息框

　　二、雲計算變雲暗算想攔誰就攔誰

　　我們來看看360雲服務器到底下達了什麼命令，這是360攔截某款軟件時雲服務器返回的數據內容：

　　圖11：360攔截某款軟件時雲服務器返回的數據內容

　　由此可見360可以在雲服務器上隨意下達攔截某款軟件的命令。360攔截原理：360安全衛士只負責驗證攔截信息，然後把攔截信息發給360的服務雲端。攔截指令是由360的雲端服務器來發出。

　　這不是360對第三方軟件第一次攔截，但可牛公司希望衷心的希望這是最後一次！用戶需要有自由選擇軟件的權利，免費的核心是自由，而不是強迫！行業需要的是競爭，而不是壟斷！360作為行業領導者，應該推動行業發展歡迎競爭，而不是隨意攔截任意打壓！

　　附：360攔截可牛的文件證據：

　　

　　網友提供的360攔截可牛殺毒的過程（視頻）：

　　

（電腦問答網 關注電腦知識，解決電腦問題！）