雷鸟下载

f59375443

@火绒工程师   所以火绒官方不回应一下吗？

人生意义

昨晚逛头条，无意间浏览到这个帖子，惊出一身冷汗，因为我用雷鸟下载差不多半年多了。
怀着忐忑的心情，花了近一天反复确认软件的安全性，因为这个对我很重要，我一直都是用的正式云盘账号登录使用的。
现在，差不多可以得出结论了，所以，特意注册了论坛账号，与诸位分享，目的是让朋友们看看我有没思考落下的地方。
先引用雷鸟官方在Github上的文字说明：
========================
源码释放说明：
1、源码释放的目的是让所有人清楚地看到在雷鸟下载中，引发360等安全软件告警的是哪些操作，其后的源码是什么样的，以解除大家的困扰。 你们可以看到，编译后的exe在单独执行时（非VS开发环境下），360会对其警告提示，甚至偶尔极端情况下，直接提示木马病毒，要求清除掉， 但其实后台代码啥都没做！这就是所谓的安全软件干的勾当！
2、界面设计用到了 DSkin界面库，各位在没有开发库授权的情况下，无法直接打开窗体设计器进行查看（否则会自动退出VS环境），所以直接查看代码，即可。
3、你可以对源码进行修改、编译、运行，其目的是验证（证明）雷鸟源码的安全性，并不意味着授权你基于此框架，进行二次开发，或借助雷鸟之名，发布软件。
4、出于保护软件未来持续可用的考虑，下载功能实现部分的源码未做放出，相信大家可以理解，除非您是想让雷鸟 “从开源，到窒息”，o(╯□╰)o 。
官网地址：http://www.thunderbird.bar
下载地址：https://www.lanzoux.com/b01bdspaj
重要说明：此Github站点，不作任何交流与答疑工作，有任何问题，请访问在线网址——http://www.thunderbird.bar
==========
再补充详细点：
1、为什么要求管理员权限运行？
原因：一，确保能顺利读写软件自身的配置文件。避免在非管理用户状态下，软件下载后被无意中置于一些要求管理员权限才能读写的路径，导致配置文件更新失败；二，读取系统中不同文件类型注册的默认图标，使得云盘浏览时文件图标显示正确。
2、软件运行过程中，为何会默认关掉网络分析相关的应用？
原因：确保雷鸟下载的网络服务接口不被抓包、针对，尽管可能意义不大，o(╯□╰)o。
3、为何在点击登录时，会显示警告“有程序正在进行可疑操作...目标文件:.....rundll32.exe 程序正在进行远程线程注入”？
原因：在软件官网 https://www.kancloud.cn/myzfb/thunderbird/1761695 ，已经说得很清楚，这是因为打开登录页面时，软件开发用到了EO.WebBrowser浏览器组件，作为非360白名单中的浏览器软件联网访问网页时，都会有这样的警告，且访问HTTPS网址时，还会弹出“有程序正在修改受信证书发行者”警告，这一点疑问，自己下载雷鸟开源代码，看看编译结果运行时是不是会出现上述两个警告，再看看源码里啥操作都没有，自会明白。
==============================
从上边文字看，解释合情合理。但我们不能轻信，所以我做了这几样工作来论证。

1、我下载了它们的源码，按他们的说明，重现了“有程序正在进行可疑操作...目标文件:.....rundll32.exe 程序正在进行远程线程注入”和“有程序正在修改受信证书发行者”的警告，的确是因为EO.WebBrowser浏览器组件引起的警告，且非单针对登录页面发生，相应疑虑解除。
2、关于“默认关掉网络分析相关的应用”的解释，可能是实情，一个月前他们的服务器连续三天被人DDOS，后来他们换了IP，加了高防CDN，这个软件消息中曾经出过通告。但还是打消不了我的疑虑，我尝试了不同的安全软件，分析了它们的网络连接（仅是连接，非API接口）， 没有发现问题，应该可信。如他们自己所言，他们这种防范手段的确很鸡肋，毫无意义。
3、参考其他饭友做法，将软件上传至微步云沙箱（真的很强！），做多引擎扫描查杀， https://w.url.cn/s/AXKDL1X，经微步云沙箱检测该文件为安全。但发现存在“释放了一个二进制文件并执行”的高危行为，在本地多次操作后发现，该行为出现在软件升级的时候。分析所释放的文件“FSLib.DeleteTmp_88628.exe”,根据特征字“FSLib”和软件伴随的dll文件，找到开源项目https://github.com/iccfish/FSLib.App.SimpleUpdater（一个.NET的在线升级库项目），自己动手，简单构建了个升级程序Demo，重现了软件升级时相同的临时文件释放与清理的行为，可知该行为系升级组件行为，高危行为疑虑解除。

就目前，各项实验分析结果，是可信的，心里算是踏实了。如果有考虑遗漏了的点，请各位朋友不吝赐教。

人生意义

而且，启动软件后，初次点击页面访问（无论是登录，或是帮助页面），都会弹出“有程序正在进行可疑操作...目标文件:.....rundll32.exe 程序正在进行远程线程注入”警告，试试拒绝，即发现页面无法打开，显示空白状态。现象与官方说明一致。

swizzer

huang1111 发表于 2020-10-7 15:51
hello

首先第一个疑问，注入行为是否一定为恶意？

仅对第二个做一点补充。
来自https://www.wisevector.com/privacy/

如果您想测试WiseVector，您可以直接下载它，而不需要输入任何个人信息。试用行为是自愿的，您可以随时卸载它。

我们会在以下两种情况搜集您的个人信息：

a. 您自愿选择通过软件上报文件。

b. 如果您在软件中启用了“发送威胁数据以增强用户体验”选项：

1）当恶意程序触发了软件的高级威胁防御时，该程序将自动上传。

2）高级威胁防御的日志将自动上传。

上传时，我们会知道文件位置和您的IP地址。 文件位置可以使我们知道文件所属的系统文件夹，如果它们属于系统文件夹，则可能是恶意程序。 文件位置也可以帮助我们重现环境以进行测试。 您的IP地址可以使我们知道文件的GEO位置。 如果漏报或误报经常来自一个位置，我们将知道如何有针对性地改进WiseVector。

至于他们获取的日志究竟反应出样本的何种行为，目前不得而知。

人生意义

swizzer 发表于 2020-10-7 22:16
仅对第二个做一点补充。
来自https://www.wisevector.com/privacy/

我做拦截分析，未发现有任何日志收集行为，应该是服务接口调用的误判。

swizzer

人生意义 发表于 2020-10-7 22:42
我做拦截分析，未发现有任何日志收集行为，应该是服务接口调用的误判。

我目前倾向于怀疑智量误判。但是在相关报告出炉前一切均是未知数。

huang1111

swizzer 发表于 2020-10-7 22:16
仅对第二个做一点补充。
来自https://www.wisevector.com/privacy/

这个选项是默认开启的么？如果是默认开启，那么在安装过程中是否会出现对应条款，如果没有出现，那么我觉得使用智量作为日常使用是一个很恐怖的事情，假设一个文档被宏病毒感染，被识别出来，那么似乎就会被自动上传机制上传，这个恐怕是用户无法接受的事情。
当然，如果这个选项并不是默认开启的情况，那么我对其“大量用户端”的相关言论表示怀疑，>50?500?5000?

swizzer

huang1111 发表于 2020-10-7 22:58
这个选项是默认开启的么？如果是默认开启，那么在安装过程中是否会出现对应条款，如果没有出现，那 ...

默认开启。



仅有的提示。

hy_alvin

在GITHUB上雷鸟官方更新了自述文件，针对这几个行为做了解释，各位怎么看
https://github.com/thunderbird-team/ThunderBird_OpenSource#readme

huang1111

swizzer 发表于 2020-10-7 23:02
默认开启。

我对智量的看法又更新了