扣扣保镖，巧妙的设计。

salmon5

扣扣保镖官网主页已经下架，昨天顺藤摸瓜，根据这个检测报告，找到了下载地址，试用一下。
1，启动设计巧妙：通过ShellExecuteHooks这个键值启动，插入资源管理器360BHO.dll模块（我的snagit也被注入），

监视用户QQ.exe点击事件，调用QGuard.exe注入QQ.exe QGuard.dll模块，然后QQ.exe会调用QGuardTray.exe -pid QQ.exe的PID，右下角并未显示托盘图标，一路下来用户不可控。

有个疑问，为啥不搞成HKCU Run或者HKLM Run普通的应用程序随机启动呢？
ShellExecuteHooks启动的普通程序实在少见（除了病毒木马，杀软也很少从这启动）。
这样的好处：用户不可控，（不管你有没有主动运行扣扣保镖，除非你卸载）QQ.exe都被牢牢的绑在QGuard.dll上面，功底深厚啊。实在不像普通的外挂。
2，升级用户不可控：每次关掉360QGuard.exe界面就调用QUpdate.exe，无规律的检查更新；偶尔还会"自动"调用资源管理器运行QUpdate.exe，检查更新。（更新所用的配置文件)

salmon5

沙发自己留着备用。
1，高人出面来个“扣扣保镖的保镖”。不要常驻我的资源管理器，既然把QQ的自动升级给“保镖”了，
也把这个扣扣保镖的自动升级“保镖”了，一切都为了用户嘛。
2，QQ也要给力呀！出个“三百六十度保镖”，把那个公司的客户端也都插一遍，专家说了，这样合法。

360扣扣保镖，能出个绿色单机版，不要挂ShellExecuteHooks，自动检查升级再加个可选的按钮，用户可以时不时清理下QQ垃圾（ %userprofile%\Application Data\Tencent\等）、禁用QQ不必要的插件（只聊天很多插件用不到），能像CCleaner这个工具一样，还是比较适用的。

youmingshi

了解一下    好像也一般

414063207

支持下技术贴

z13667152750

这个测试不错，他确实未修改qq的文件，这就是周敢于说那些话的原因吧
插入进程都是些杀软或病毒常用的手法，当然外挂也常用，以我使用微点的经验看来，qq会周期性扫描插入他的非腾讯dll，现在看来这个信息可能还会上传，所以腾讯才知道还有多少人使用扣扣保镖
微点主防也会做这种事，将自己的dll插入几乎所有的进程中，qq会周期性的扫描微点的那个dll

当然声明下，我认为如果上传的只有插入qq的dll信息应该不算侵犯隐私

live613

没用过这东西  关心是不是真可以qq提速的啊？

371801097

这个感觉还不够详细，但是比那些SB砖家的给力多了

dddm

进来学习，支持技术贴。

salmon5

回复 5楼 z13667152750 的帖子

流氓会武术，谁也挡不住。
常驻资源管理器，监视QQ.exe点击事件，实在是普通外挂能比啊。（常用ark工具的朋友应该知道，这种普通程序的行为也只有病毒木马所为）。用户只要安装了扣扣保镖，是不可控的，和普通外挂的不同之处。
升级检查不可控，配置文件在服务端。

xiaohome2009

进来看看  据说是外挂性质的