搜狗大数据，有你的一份贡献吗，请看《SougouCloud.exe 浅析》 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看楼主更多操作 0 发表于: 2020-01-21

原帖地址 https://bbs.kafan.cn/thread-2169610-1-1.html

今天看到坛友的一篇帖子: https://bbs.kafan.cn/thread-2169281-1-1.html 卡巴斯基报告有内存驻留感染并怀疑是搜狗收入法造成。因为智量新版也有内存深度扫描功能，所以就官网下载搜狗输入法看了一下。安装完后不知道为什么任务栏上多了一个搜狗浏览器的图标没关系，可能是我不小心造成的，继续。。。。。不过一个输入法竟然有三个进程? 还有一个搜狗安全中心，输入法为什么有安全中心？没关系，可能是看到我电脑太不安全了，继续。。。问题主要在于SougouCloud.exe, 此程序运行后内存加载了4个DLL，地址靠前的一个DLL里面有一个字符串“sogoumemdll expand code begin”意思就是搜狗内存DLL即将展开，感觉很牛逼，不过一个输入法为什么要内存加载DLL呢?第4个DLL中有字符串"http://ping.acc.sogou.com/lotusdll.gif?IDll=8". 考虑到卡巴斯基报毒名，应该是SougouCloud.exe使用了隐蔽加载动态库，再加上字符串和卡巴斯基特征撞车, 所以卡巴报告内存病毒。所以被卡巴斯基报毒的用户不必紧张.再继续查看第2个DLL，有意思的东西就多了, 这感觉是要把用户底裤都看光的节奏啊。。比如:1. 搜集IE收藏夹的网址: 2. 还有各种快捷方式的收集: 可以看到发往服务器区分数据类别的名称是zoo, 难道是把用户当动物的节奏吗?3. 各种浏览器信息探测: 4. 探测杀毒软件，对360采用进程遍历的方式判断是否存在，并将信息连同当前时间一起上传到服务器.腾讯电脑管家则使用判断qqpctray.exe是否在文件系统存在的方式判断. 还通过注册表检测: 最后用户的种种信息就成就了这个网站 http://bigdata.sogou.com/serv_tag.html 额外附件 Capture5.PNG