|
|
|
联系客服020-83701501

分析:支付宝进程监控网络流量?

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
阐发:付出宝过程监控网络流量?

阿里巴巴付出宝的1个过程Alipaybsm.exe被怀疑监控网络流量,它会复制发送的数据到领受缓冲中。

在接下来的篇幅中,我要讲1个目前还没完结的故事。故事大约还会继续阻滞下去,也大约由于我的懒而就此打住。但至多我感伤目前已经有充裕有生理的信息可能让诸位知道了。这件事,跟付出宝无关,跟(网络)信息保险也大约有1些关系。有兴致的友好,可能接着看下去。

我过来曾写过1个就事器Ping值测试倒叙(拜会这里《写了个批量测试就事器Ping值的小工具》)。这个倒叙1直都能满足我的需要,直到有1天在我老婆的笔记本Win7 x64细碎上碰到了标题:对的确全数的IP,我这个倒叙的Ping都很快收到了回答,快得不正常,的确就像做了个本地挪用1样,与现实环境不符合。因而我企图看看这是怎样回事件。

后来我人在公司,VC6近程调试又不不便。最后靠着DbgView到底了局搞鲜明清楚了然了:领受到的数据中,多进去了1份不正常的工具。我曩昔的代码,并无预计到这份不正常的数据大约会呈现,以是处理上出了些标题。

OK,这算是我的Bug。可这“不正常的数据”终究是什么工具?我把它Dump进去1看,还真是有点希奇!ICMP Type是8,源地址和目的地址则与预期的Echo回答包偏偏相似。算上sendto时辰细碎自己加之的IP包的包头,跟我送去发送缓冲区里的数据那是1 模1样。

要企图我倒叙里的这个标题特别简单。可是另1个标题就不那么好答复了:为什么别的电脑上不会多么,偏偏这台电脑会呈现这种希奇的事件?

间接答案很简单——它1定跟别的电脑有什么地方不1样!

那么另有第2个标题:终究是什么地方不1样呢?

可能说是我的幸运,也可能说是阿里个人的不幸。由于我的Taskmgr外面过程列表设置为按ASCII字母序排升序的情由,我很快就找到了这第2个标题的答案:Alipaybsm.exe。杀掉Alipaybsm.exe这个过程,背面提到的那份“不正常的数据”就不再呈现。而这个Alipaybsm.exe仿佛由AlipaySecSvc.exe在守护,过了1会儿就又自己提议起来了。它1呈此刻过程列表中,我1试,哈,阿谁希奇的景象就又呈现了。

后来,我把这事件在Twitter上说了1下,还激发了1场小小的探求。

我目前还没完全想明白Alipaybsm.exe多么做的目的是什么。开端感觉,有大约是跟背后里监控网络流量无关。到底了局,目的地址不准确的数据, 就算被放入Socket领受缓冲外面,在网络层与传输层之间预计也被滤掉了。我这次是由于用了SOCK_RAW,需要自己下到网络(IP)层来处理数据, 才可巧创作发领略这个环境。假设只是在传输层(TCP/UDP)从事工作,预计不会有任何察觉。

只不外,反过来讲,假设能做到复制数据到Socket领受缓冲,那应当完全可能做到监控流量而不带任何遗迹才对。以是我目前还只能体会 为,Alipaybsm.exe想完全监控网络流量,以是操作了这个才略(复制发送的数据到领受缓冲中),但干这事屁股没擦干净(也大约无法擦干净),才 发作了我碰到的这些环境。

我副本认为后来阿谁Alipaybsm.exe是个假货。但看EXE的具体信息,以及绑定的数字证书,都像是付出宝民间的真货。我又认为那只是1个 不幼稚的版本,大约有Bug,但我前两天为了转1笔账,又去下载并安顿了1个付出宝保险控件,然后它又呈现了,带着它那希奇的举动又呈现了。

以是,我们来经受看看这货吧:

看上来挺正常吧?

在Twitter上探求的时辰,有人展示,在Mac上用防火墙没观测到有这个景象。为此,我今天特意去确认了1下:在Windows上抓包,也观测 不到这个景象。我预计,只有自己写基于SOCK_RAW的倒叙,能力收到这些数据。为了检查这种不凡的举动,我专程写了个小倒叙 AlipaybsmTester,基本上便是1个单地址单次复线程的PingTester。

从这幅截图中可能看到,Microsoft Network Monitor只抓到了1来1回共两个包,但我的测试倒叙发了1个包收到了两个,形式各不相同。假设杀掉Alipaybsm.exe,那就只会收到后1个包了。

接下来再看看这个Alipaybsm.exe的1些更好玩的事件:

很希奇的是,它实在并非随着“付出宝保险控件”(Aliedit.exe)装上来的。当你登录付出宝,遵照Web页面上的提醒安顿了“付出宝保险控件”时,只会在Program Files (x86)\alipay上面建1个名字叫alieditplus的目录。

可是过1会儿(我这次过了三0分钟摆布),在alieditplus上面会呈现1个update目录,并下载1个SafeTransaction_Setup.exe放在其“\job\file\tmp\zip_1009_”子目录中(不应时期不合环境中门路大约会有所不合)。随后Program Files (x86)\alipay\SafeTransaction目录便呈现,外面就有Alipaybsm.exe(虽然另有1些别的)。

我在网上想搜1下关于这个Alipaybsm.exe或SafeTransaction_Setup.exe的关系信息,创作发明少得不幸。 Alipay民间完全没有提到过这些工具,好像它们是陶染了AIDS的私生子1样。不外每个安顿了付出宝保险控件的电脑上,预计都会有这些个工具(另有个 AlipayDHC也值得留意)。我认为以这种方法遏制广而告之的倒叙,很大约另有其目的,不见得真的是包管个浏览器保险这么简单。如公然是为了包管浏览器保险,完全可能暗地(乃至大张旗鼓地)外扬,然后打包到安顿包里1起散发下去正至公然地安顿,不是吗?

PS: 我后来创作发明,杀掉AlipaySecSvc.exe也会导致复制数据包的景象停止,而且重启该就事以后,还原景象花的岁月比单单杀掉 Alipaybsm.exe要长。可见Alipaybsm.exe的角色或者只是1个方法的动员者和了局的阐发者,具体对流量实施监控的举动,很大约是它 去挪用AlipaySecSvc.exe中的某些个就事来实现的。这注明关于“付出宝保险控件”自己也不能不认为意。关系服从实在大约1直就放在 AlipaySecSvc.exe中,只是没有人来扣扳机罢了。而这个扣扳机的可能是Alipaybsm.exe,也可能是别的谁,那谁谁谁。

关系音讯:《阿里付出宝过程被怀疑监控网络流量》

—————————关于此标题的企图筹划91Ri.org的小编带自身看看网友怎样说——————————

网友flyfish:实在,1开端网络副本是挺保险的,正是有了研究保险的这这些人才变得不保险!但这是肯定的!看来所谓的保险软件也不1定是“保险”的!不管什么起因,估计在1定岁月后,当网络到达1个相对保险的程度,仍不乏会呈现1些“自导自演”的保险厂商喽

网友binsys:早对他展示错误望了,还给客服回馈过,没反馈,后来学了个别式花腔,在官网下载的保险控件包用7z掀开拖出外面1个稍小的安顿包,这个才是真实的保险控 件,把他安顿上就没有保险就事了,害处是假设你装了各种管家,会提醒保险控件有新版本,更新后就会把那1堆工具给弄返来,体式花腔是不更新,闲着没事做时再去 官网找安顿包来解压提取更新。

[作者:刘羽 / 转自freebuf]

 

数安新闻+更多

证书相关+更多