揭开360“黑匣子” 奇虎360“一枝黄花”性基因深度调查

核心提示

独立调查员称，360在其“安全浏览器”软件中，植入非法程序，并通过该非法程序中的“后门机制”与360云端配合，形成全球独一无二的秘密内部机制……

2月25日，正是奇虎360所有APP产品被苹果全面下架一个月的日子。就在此前，360的CFO亲赴美国“负荆请罪”，但360相关产品并未重新上架。

知情人士透露，国家版权局内部已讨论，360搜索引擎违反Robots国际规则一事，或要求进行整改。

《信息方略》的一份调研结果显示，“拒绝安装360”的企业比例高达60%。

一家以声称安全起家的互联网公司，正面临“不安全”的声讨……

360到底怎么了？这是一家什么样的企业？带着这样的疑问，《每日经济新闻》记者经过数月调查，并在微博名人“独立调查员”等一批程序“猿”的帮助下，揭开了360的层层内幕。

360创始人周鸿祎一直对外宣称，360成功的秘诀是“破坏性创新”。但记者调查发现，360的成功，更重要的是在于其“创新型破坏”：破坏才是目标。通过破坏，打破既有规则，从中获得市场与利益。而这一破坏的基础，便是对互联网世界最基本的准则———最小特权原则的践踏。

为全面还原360的真实面目，“独立调查员”们以超人的技术能力与艰辛的劳动，剥茧抽丝般一层层揭开，将其内部机制破解成功。

360发家于“360安全卫士”、“360安全浏览器”，而这两款产品甫一面世，便携带了这家公司的“癌性基因”：以违反“最小特权原则”为基石而构建。

记者第一次查清，360是如何在其庞大的以安全著称的“安全卫士”、“安全浏览器”软件中，植入非法程序，并通过该非法程序中的“后门机制”与360云端配合，形成全球独一无二的秘密内部机制。

最令人惊诧的，是即使在360内部也属高度机密的“V3升级机制”。在这场看不见的战争中，360表现出两个粗暴：粗暴侵犯网民的合法权益（隐私权、知情权、同意权）、粗暴侵犯同行的基本权益，肆无忌惮地破坏行业规则，从而实现其“一枝黄花”式的疯狂成长。

《每日经济新闻》记者获悉，百度即将砸重金投向安全领域，最快将于今年上半年正式推出，这与经历“3Q大战”的腾讯进驻安全领域如出一辙。

看不见的“缝”

独立调查员：

找出“5分钟”秘道

据记者了解，国内最早全面禁用360产品的公司为腾讯、百度、金山等一批公司。在这些公司的办公环境中，完全屏蔽360产品，如确因公司研究性工作需要，才可以安装虚拟机使用360产品。

大型公司尚且对360产品避之不及，对于普通用户来说，使用360相关“安全”产品，安全吗？

反向分析出“后门”

2012年10月，因为本职工作而涉及安全领域的软件工程师，独立调查员才注意到了360安全产品。他敏锐地发现，360“非常异类”———许多行为是反安全的。

独立调查员特意在用于测试的虚拟机中安装了全套360产品，并由此发现360产品的许多“不规矩行为”。独立调查员发现，360浏览器网络通信有非常异常的情况，“最开始只是发现其时间周期性：每隔5分钟，浏览器就主动发起一次与服务器之间的通信过程，虽然不知道在干嘛，但其短周期性非常可疑。”

为什么不打开任何网页、不动键盘和鼠标，360浏览器依然忙个不停呢？“国内外所有的知名浏览器都不会存在这样的行为模式。可以肯定，此中必有蹊跷”。

于是，他继续追查，虽然下载的文件名是文本文件（ini），但当他把数据包拼接成文件后一看（当时尚不知道服务器IP地址对应域名，受服务器限制未能通过网址直接下载文件，也尚未注意到文件被暂存于临时文件夹），实际是个DLL（可动态加载的程序模块）。“以我的知识和经验，很快意识到问题的严重性———以更新配置文件为耳目、周期性下载并加载执行小程序———这是一个后门。至于360利用它做什么、曾做过什么并非重点，重点是他们可以做任何事而不为人知、不留痕迹。”

于是，他于去年10月29日通过微博对外公布了360浏览器有后门的事实，同时公开向工信部、公安部发出了一封名为《公开举报奇虎360公司———致工信部、公安部公开信》的举报信。

此事一石激起千层浪。不过，具有挑战的是，独立调查员的分析结果仅仅是网络分析，是“后门”机制的初步证据和技术推断，而非直接的铁证。正是因为这样，360开始在网络上对其进行质疑、攻击，甚至嘲讽。

“他们以为我只会网络抓包呢！”独立调查员表示。于是，为了做实360的后门机制，他决定反向分析浏览器本身的程序库，并详细分析出“后门”机制的内部执行流程。

通过一系列技术过程，独立调查员掌握了360浏览器在SmartWiz整个组件里与360服务器间建立通信、下载、临时存储、加载执行、删除（销毁证据）的流程，同时也知道了其时钟控制调度机制（5分钟间隔定时器）。

运行机制被“透明”

360安全浏览器设计出来的后门，恰恰给用户带来了极大的不安全。IDF互联网情报威慑防御实验室创始人万涛则对浏览器后门做了解读。他说，被称作360“安全”的浏览器，却有一个后门，这个后门硬生生地将这个蛋壳打开了一条缝，而且是一条用户看不到的缝。

通过这个后门，360浏览器可以根据监视用户电脑操作过程中出现的情况，向360云安全中心发出请求，360云端的后门服务体系根据请求，给出相应的DLL，即Windows可执行程序库。这个DLL通过360浏览器的后门，直接进入用户的Windows系统。此时，这个DLL好生了得，它甚至已不受浏览器的控制，它在用户Windows系统中可做的事情包括但不限于：获取用户的文件，并上传到云端；读写、增删用户的文件；监听用户通讯等等。

“搞清楚这些细节后，我就着手重现后门机制的运作，让本来不可见的过程变得可见，以做可视化演示，让大家不仅能感知而且能‘看到\’360暗设的这道‘后门\’。”独立调查员表示。在他看来，360那个后门每5分钟都会找360服务器下载一个DLL并加载执行，但是它是个后门，隐蔽性第一，因此DLL无论如何不会现身的，不存在弹出对话窗口或者消息框，因此就需要给它模拟一个测试环境。

“通过在本地架设DNS服务，劫持360.cn的域名解析，把我的机器伪装成360的服务器，然后那个注入到浏览器的DLL不就由我自由控制了么？”独立调查员表示，通过编一个只要被加载执行就马上弹出消息框的DLL，拿自己写的DLL注入给360浏览器，这就让360浏览器的后门机制的运行完全可见了。

独立调查员指出，可执行文件DLL绝非软件的自动更新（软件更新是持久性的），360安全浏览器自动更新仅在启动时执行一次，与此行为毫无关系；而它也不是浏览器的一部分，下载、暂存、加载调用后将立即被删除，在完成使命后，不留任何痕迹。

特殊“升级机制”

取胜“秘籍”？神秘V3升级机制

据掌握360核心机密的一位360前员工披露，360正在谋划递归DNS的推出，而要大面积推广递归DNS，将走360特殊的通道：V3升级机制通道。这位前员工解释说，DNS是域名系统（Domain Name System）的缩写，是因特网的一项核心服务。简单地说，人们一般记不住IP地址，但人们能够记住域名，DNS就是将人们能够记住的域名转化成机器使用的IP地址的服务。

而360要做递归DNS，即是说：客户机不要请求运营商或企业的DNS服务器解析了，都交给360的DNS服务器解析好了。

接下来的问题在于，在递归过程中，360最终给的IP地址是否就是用户请求的呢？为什么360就不会劫持IP地址呢？早在去年，独立调查员就在微博上质疑。独立调查员举例说，如用户提出的百度搜索请求，但360递归DNS给的是so.360.com的IP地址，为什么不会呢？而记者掌握的进一步情况是：360在技术上已完全做好了准备，至于推广方式，目前还不能披露，但其核心手段就是“瞒天过海，暗度陈仓”。而整体实施，正是通过360的V3升级机制。

记者通过数月的调查，终于揭开了所谓的V3机制的神秘面纱。任何一个公司的软件，在下载时，都必须基于用户的意愿。程序不能代替用户来做自动下载软件。但对一些特别清晰而简单的下载或升级或优化，用户也可以通过“一键优化”或“一键修复”等来实施。

360多年一方面正是通过“一键优化”或“一键修复”，绕过用户的一步步审核，要么将竞争对手的软件给优化掉，要么就是在下载中夹带“私货”，将其最想推广的软件悄悄直接代替用户给下载了。另一方面，360甚至不需要用户的“一键优化”等，在暗中直接给用户的电脑（或手机）下载其推广的软件。这也就是业内人最为痛恨的“静默安装”、“静默升级”等。

据记者调查，通过一键优化路径进行操作的，是通过360安全卫士，即通过客户端执行；“静默安装”，则是直接通过云服务器发布指令执行的。而“V3升级”即是360产品线最重要的捆绑安装渠道。V3机制，最主要的推广“母体”就是360安全卫士与360浏览器，而这两者间，又有分工与交叉，相互配合，其中的关系非常复杂。为达到遮人耳目，V3通道并不是常规的路径，而是在重要的“必须产品”推广中才会实施。通过这一路径，可以一下子将产品全面铺开，实现最大的安装量。而当360的主体产品拥有的用户基数越来越高的时候，这样的推广作用也变得更有成效。

V3由360高层决策层下达指令，360安全数据中心启动，并通过后门机制，将指令性信息传达给用户电脑中安装的360安全卫士，主要指令为产品推广、删除竞争对手产品、新配置数据等；360安全卫士在用户Windows系统中，直接执行安装、更改、卸载；然后，通过后门机制，将信息反馈给360云安全数据中心，该中心再将信息收集、汇总统计后，上传给决策层。

在360，除产品、技术之外的员工，对V3机制知之甚少。即使是核心员工，也并非知道其中的全部路径。

新闻背后

360产品频遭卸载背后：

来自官方的“NO”

记者通过调查发现，360相关产品被苹果下架事件，绝不是一件偶然的事情，背后既有特殊的原因，也有必然的结果，更有不断成为常态的趋势。有越来越多的人意识到，粗暴侵犯用户权益，粗暴破坏行业规则，损害企业基本权益，会给整个行业带来“生，还是死”的危害。

其实，最早对360说“NO”的是人民法院，在360历时八年的发展过程中，与企业间有八场民事诉讼，法院给予的回答是：“八连败！”在法律上，360的行为被严厉拒绝。

最近以来，政府相关部门也对360接连亮起“黄牌”：国家版权局在去年12月28日首次表态，称360搜索要抓取百度内容需要获得百度授权，提供百度网页快照不适用“避风港原则”，要求360进行整改，将视360的整改情况再采取进一步的管理措施。

1月24日，北京市工商局对外发布消息：北京市工商局、北京市工商局西城分局共同约见了北京奇虎科技有限公司（以下简称奇虎公司）负责人，对其利用“360安全卫士”在浏览器领域实施不正当竞争行为予以行政告诫。

1月30日，国家工商行政管理总局在其官方网站首次披露了对360给予行政告诫的具体原因：奇虎360利用垄断市场优势，通过不兼容、难卸载等方式阻止网民安装其他软件；还用推荐诱导、默认同步安装甚至伪装成微软官方补丁等方式，将其旗下的360浏览器、360网址导航等产品强行安装至网民电脑中，通过默认设置、强制升级等方式修改用户浏览器和主页设置。《每日经济新闻》

新闻推荐

50后姐妹“减龄”20岁为年轻代言

她们是曾被称作“太婆”的“50后”姐妹，不惜砸重金购置大量护肤品却收效甚微。但如今，经由华美紫馨面部年轻化专家团队打造，青春气息和知性气质爆棚的周晓玲和周晓玉强势回归，以看上去年轻20岁的蜕变...