360安全卫士后门事件

瑞星公布360安全卫士“后门”技术细节
     360安全卫士被爆存在“本地提权”漏洞，截止到2010年2月3日11时，其产品并未修复，而官方宣称已修复（见360的官方报道）。随后奇虎360安全卫士又被曝出给用户电脑安装“后门”，任意读取用户隐私文件。问题暴露后，奇虎安全卫士360不但没有承认自身问题，反而通过删除网络新闻、个人博客、威胁媒体、枪手发帖等手段欺骗用户，掩盖事实真相、混淆视听。瑞星公司宣称本着对所有360用户安全负责的态度，公布360“后门”部分技术细节，请奇虎安全卫士360尽快停止安装“后门”，停止侵害用户权益的行为。 请奇虎安全卫士360公司以严谨的态度尽快面对以下问题：
     第一：请对360安全卫士存在的“后门”进行解释；
     第二：对2月1日公布的360安全卫士“本地提权”漏洞仍未修复，却在官方宣布已经修复的问题做出解释；
     第三：请尽快对以上两大严重产品缺陷进行修复。[
[编辑本段]360安全卫士“后门”细节分析
360安全卫士后门程序涉及的主要文件是：在安装进入系统时自带的驱动文件bregdrv.sys、bfsdrv.sys，以及对这两个驱动文件调用的动态链接库bregdll.dll、bfsdll.dll。
     bregdrv.sys：360内核模式驱动，该驱动程序通过调用操作系统的未公开CmXxx系列函数来操作注册表，另外由于操作系统内部本身维护了很多同步数据、缓存数据，直接调用CmXxx系列函数操作注册表极有可能造成系统内部数据不同步，严重影响系统安全性，甚至可能导致用户正常数据丢失；360后门部分功能代码截图一
     bregdll.dll：用户态动态库，该动态库封装了对bregdrv.sys的调用，为用户态程序提供注册表操作后门的接口；该动态库仿照Windows操作系统API接口（加B作为前缀）导出了如下注册表操作函数，但与WindowsAPI不同的是，bregdll.dll导出的函数在实现上绕过了操作系统的所有安全检查，直接调用极为低层的未公开CmXxx系列函数实现：1.BRegCloseKey 2.BRegCreateKey3.BRegCreateKeyEx4.BRegCreateKeyExW
     5.BRegCreateKeyW 6.BRegDeleteKey7.BRegDeleteKeyW8.BRegDeleteValue
     9.BRegDeleteValueW 10.BRegEnumKey11.BRegEnumKeyEx12.BRegEnumKeyExW
     13.BRegEnumKeyW 14.BRegEnumValue15.BRegEnumValueW16.BRegOpenKey
     17.BRegOpenKeyEx 18.BRegOpenKeyExW19.BRegOpenKeyW20.BRegQueryValueEx
     21.BRegQueryValueExW22.BRegSetValueEx23.BRegSetValueExW
     bfsdrv.sys，该驱动程序通过直接向文件系统发送I/O请求包（IRP）来实现文件操作，这种方式可以绕过基于过滤驱动的文件监控（包括卡巴斯基、诺顿等安全软件）。由于该程序没有对调用者进行检查，导致可以被任意程序（如各种木马程序等）利用达到修改、删除用户正常文件的目的。
     bfsdll.dll：用户态动态库，该动态库封装了对bfsdrv.sys的调用，为用户态程序提供文件操作后门的接口；该动态库仿照Windows操作系统API接口（加FS或Bfs作为前缀）导出了如下文件操作函数，但与WindowsAPI不同的是，bfsdll.dll导出的函数在实现上绕过了所有文件系统上层的过滤驱动，直接向文件系统发送I/O请求包实现：
     1.BfsMoveFileExW 2.FSCloseHandle3.FSCopyFile4.FSCopyFileW
     5.FSCreateFile 6.FSCreateFileW7.FSDeleteFile8.FSDeleteFileW
     9.FSFindClose10.FSFindFirstFile11.FSFindFirstFileW 12.FSFindNextFile