SougouCloud.exe 浅析

智量官方

今天看到坛友的一篇帖子: https://bbs.kafan.cn/thread-2169281-1-1.html 卡巴斯基报告有内存驻留感染并怀疑是搜狗收入法造成。因为智量新版也有内存深度扫描功能，所以就官网下载搜狗输入法看了一下。安装完后不知道为什么任务栏上多了一个搜狗浏览器的图标



没关系，可能是我不小心造成的，继续。。。。。
不过一个输入法竟然有三个进程?

还有一个搜狗安全中心，输入法为什么有安全中心？没关系，可能是看到我电脑太不安全了，继续。。。

问题主要在于SougouCloud.exe, 此程序运行后内存加载了4个DLL，地址靠前的一个DLL里面有一个字符串
“sogoumemdll expand code begin”意思就是搜狗内存DLL即将展开，感觉很牛逼，不过一个输入法为什么要内存加载DLL呢?
第4个DLL中有字符串"http://ping.acc.sogou.com/lotusdll.gif?IDll=8". 考虑到卡巴斯基报毒名，应该是SougouCloud.exe使用了隐蔽加载
动态库，再加上字符串和卡巴斯基特征撞车, 所以卡巴报告内存病毒。所以被卡巴斯基报毒的用户不必紧张.

再继续查看第2个DLL，有意思的东西就多了, 这感觉是要把用户底裤都看光的节奏啊。。

比如:

1. 搜集IE收藏夹的网址:



2. 还有各种快捷方式的收集:



可以看到发往服务器区分数据类别的名称是zoo, 难道是把用户当动物的节奏吗?

3. 各种浏览器信息探测:



4. 探测杀毒软件，对360采用进程遍历的方式判断是否存在，并将信息连同当前时间一起上传到服务器.
腾讯电脑管家则使用判断qqpctray.exe是否在文件系统存在的方式判断. 还通过注册表检测:



最后用户的种种信息就成就了这个网站 http://bigdata.sogou.com/serv_tag.html

2手玫瑰.Rec

吓得我赶紧把我vivo手机里的搜狗输入法卸载了，要是被它发现我浏览的yellow网，并上传公布了怎么办？

Beloved

Lotus 是个很牛逼的东西

wowocock

内存加载DLL，网上有开源，估计大家一起炒，所以木马也抄，正规软件也抄，所以特征撞车很正常。

清道夫900

用搜狗输入法正确方式是禁止所有进程程序联网。搜狗这东西一点都不干净。有没有志士向公安举报下涉嫌侵害公民信息隐私的？

清道夫900

一个输入法加载了那么多的进程，还明目张胆的探取private info   。已经违法了。但是人家说有隐私协议。但是如果刑事犯罪的话。。。。。有协议管个球球用？

清道夫900

智量终于写了篇好文。打个call。三连被处罚又怎样，顶上去。

名字无所谓

广告输入法，电脑里弹的最嗨（还没地方设置关闭）要不是家人喜欢用早让他滚出电脑

浅暮、浅离

溜溜溜，搜狗这种行为就应该曝光，臭不要脸的！！！

你好，再见

安全中心是浏览器的，主要用于防劫持