可牛公布360安全卫士恶意拦截证据

明镜星空

官方首页已经有这个消息，地址：http://bbs.sd.keniu.com/thread-593-1-1.html
官方首页地址：http://sd.keniu.com/index.html

附：360拦截可牛的文件证据：

http://sd.keniu.com/360appd/360appd.rar

网友提供的360拦截可牛杀毒的过程（视频）：

http://you.video.sina.com.cn/b/33290126-1644915981.html

5月25日晚21:30，经历诸多波折的“可牛免费杀毒”终于上线了，正当可牛公司员工欢欣雀跃之时，万万没有想到的事情发生了。软件发布还不到5分钟，就有网友向可牛公司反馈，在安装可牛免费杀毒时遭遇了360安全卫士的拦截，并提供了一张拦截画面。可牛公司经过技术分析，发现了360安全卫士恶意拦截可牛免费杀毒软件的确凿证据，现将360安全卫士拦截可牛免费杀毒的证据进行公布，包括2个文件证据和1份技术分析说明。

360实现竞争对手拦截的过程分析

一、360拦截名单大曝光 可牛金山傲游一个都不少

分析发现，360将竞争对手的文件信息保存在C:\ 360safe\ipc\目录下（C为系统盘符）的360appd.dat文件中，该文件采用了异或加密手段，以防止数据被直接发现。

使用010 Editor或者winhex等16进制编辑工具，可以对360加密数据进行解密，由于360只采用了异或手段，界面过程还是很简单的。图1就是包含了可牛免费杀毒特征的360appd.dat文件截图。

                                下载 (72.21 KB)
昨天 13:11

图1：包含了可牛免费杀毒特征的360appd.dat文件截图

由图1可以清楚的看到，其中包含了“keniu”字样，就是通过这个特征，360实现对可牛免费杀毒软件的基本判定。

为了防止360赶在这篇文章发布之前毁灭罪证，在可牛免费杀毒论坛（http://sd.keniu.com/360appd/360appd.rar）中提供了两个360appd.dat文件，“360appd_old.dat” 和“360appd.dat”。生成时间分别是2010年5月23日和5月24日，通过分析，可以看到在5月23日的数据中还没有可牛杀毒的数据，而5月24发布的数据中已经增加了可牛杀毒的数据。可见360是赶在可牛杀毒发布前，就制作好了拦截数据库，以方便在可牛杀毒发布后，第一时间就开始拦截。

更神奇的是，在这个竞争对手名单中，还远远不止可牛一家，其中还有金山网盾和傲游浏览器（Maxthon）！

                                下载 (101.83 KB)
昨天 13:11

图2：包含了金山网盾特征的360appd.dat文件截图

                                下载 (48.44 KB)
昨天 13:12

图3：包含了“Maxthon”特征的360appd.dat文件截图

请看这两个文件头信息中的D063部分，根据二进制的算法，我们可以知道这实际为一个数字，而数值为360D，这就是360的数据文件的校验头，从而可以确认这两个文件为360所生成。

                                下载 (41.69 KB)
昨天 13:12

图4：“360appd_old.dat”文件头中包含360的数据文件头信息

                                下载 (37.46 KB)
昨天 13:12

图5：“360appd.dat”文件头中包含360的数据文件头信息

我们再来看一下这两个文件的生成时间。“360appd_old.dat”为5月23日生成，无可牛杀毒特征；“360appd.dat”为5月24日生成，包含可牛杀毒特征。我们希望360的这一次升级，不是仅仅为了拦截可牛杀毒。

                                下载 (32.4 KB)
昨天 13:12

图6：“360appd_old.dat”为5月23日生成

                                下载 (34.67 KB)
昨天 13:12

图7：“360appd.dat”为5月24日生成

分析发现，在运行任意一个程序时，360都会进行拦截，如果是竞争对手程序，就对该程序运行进行拦截提示，如果不是竞争对手程序，再去判断是否为木马病毒。该逻辑实现在appd.dll中，无需多言，请大家直接看图：

                                下载 (54.45 KB)
昨天 13:12

图8：360在判断运行的程序是否为可牛免费杀毒

                                下载 (24.43 KB)
昨天 13:12

图9：360成功提取可牛杀毒程序特征

在上面两图中，我们可以清楚的看到可牛杀毒运行时，360进行了拦截，并且成功匹配了360appd.dat中的可牛杀毒的特征。匹配后360开始提取可牛杀毒程序特征，并提交到360云服务器来判断是否需要拦截可牛杀毒。

                                下载 (181.48 KB)
昨天 13:12

图10:360安全卫士拦截可牛免费杀毒的信息框

二、云计算变云暗算 想拦谁就拦谁

我们来看看360云服务器到底下达了什么命令，这是360拦截某款软件时云服务器返回的数据内容：

                                下载 (61.79 KB)
昨天 13:12

图11：360拦截某款软件时云服务器返回的数据内容

由此可见360可以在云服务器上随意下达拦截某款软件的命令。360拦截原理：360安全卫士只负责验证拦截信息，然后把拦截信息发给360的服务云端。拦截指令是由360的云端服务器来发出。

这不是360对第三方软件第一次拦截，但可牛公司希望衷心的希望这是最后一次！用户需要有自由选择软件的权利，免费的核心是自由，而不是强迫！行业需要的是竞争，而不是垄断！360作为行业领导者，应该推动行业发展欢迎竞争，而不是随意拦截任意打压！

附：360拦截可牛的文件证据：

http://sd.keniu.com/360appd/360appd.rar

网友提供的360拦截可牛杀毒的过程（视频）：

http://you.video.sina.com.cn/b/33290126-1644915981.html

皇柝

我好像昨天看过……感觉是可牛想高攀360这棵大树…这么个名不见经传的可牛还没发布居然已经让360恐惧了？有理智的人都不会相信，这么明显的炒作，免费的多了去了，红伞和小A还有Avg干嘛不拦偏拦你可牛？除非360脑子被门夹了。可牛看来也不是什么好鸟，鉴定完毕。

明镜星空

回复 2# 皇柝


    看过正常。本来没放在官方主页。卡饭不让发。今天终于放到可牛官方主页了。版主就没话说了

gxczlzz

昨天这个帖子被和谐了，今天可牛官网终于放出来了

明镜星空

回复 4# gxczlzz


    是的。官网已经有了。版主没有权利删除或者锁帖了。

皇柝

回复 3# 明镜星空


    现在怎么看起来这形势是全民围剿山路陵啊

gxczlzz

回复 5# 明镜星空
这样最好，昨天帖子好好的，竟然被和谐了。
我觉得这样证据已经够充分了，还非要上官网才行

gxczlzz

回复 6# 皇柝
因为云拦截太超前了

明镜星空

回复 6# 皇柝


    现在金山，可牛，傲游都在批判360。搜狗也帮金山说话了。腾讯在QQ软件管家里面删除了所有360产品。不知道还会有谁加入

jefffire

这次证据很确凿啊，看看360如何说
PS：有没有谁的360，在24号以后没联网的？