对于迅雷运行观测的分析报告，更新完毕写这个帖子的原因是这几天关于迅雷的争论开始多了起来。
特别是今天和一位路友yj10110讨论了一些迅雷技术的细节之后，
一扒到底看个究竟的好奇之心再次上来了。
由于我自己对迅雷的印象已是半年之前，没有根据不好多说话，
所以还是自己动手来实验吧。

首先去迅雷网站下载了迅雷官方最新版5.7x版。
下载安装时有不少选项，什么看看，不看看的插件，一律不安装。
google toolbar等一律无视。

装完之后去下了微软提供的系统监测工具Procmon。
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

由于Procmon会截取windows中所有的消息，所以为了更清楚的监测迅雷的动作，
还是需要自定义Filter，选择菜单-》Filter，输入自己关心的属性，于是检测的范围就小了许多。
见下图。

002.jpg (234.42 KB)
2008-3-3 22:27




开始监测
首先注意到，在装完迅雷之后，迅雷往update/目录底下写入一堆kankantop.exe的东西。
猜测这是不是就是刚才不想安装的插件，不想装的也给。。。。。。。

003.jpg (279 KB)
2008-3-3 22:31




然后就发现迅雷一直在反复试图往windows/底下写入configure.ini文件
见下图蓝标处。

005.jpg (294.65 KB)
2008-3-3 19:23




发现一个比较有意思的现象，迅雷在不停的读取迅雷安装目录/Ad/底下的10几个Flash文件，
几乎是每几秒就去读一下。。。。Ad是广告的缩写词，应该是迅雷上下左右的广告栏。
这个也无可厚非，就是刷新频率也太高了点。

006.jpg (320 KB)
2008-3-3 19:32




随便找了个资源开始下吧，从下图中可以很清楚的看到ftp链接以明码标记在我的桌面上
建立了一个隐含文件。

007.jpg (295.2 KB)
2008-3-3 19:37




有意思的事情终于来了。。。。
看下图，迅雷正在对desktop和Program Files这两个目录进行读写操作。
我不知道我有没有授权这两个目录(很抱歉用的日文系统图中的swordwu/デスクトップ就是desktop的意思)

008.jpg (256.72 KB)
2008-3-3 19:43




再看看这个，我不知道迅雷访问我的IE Favourite（就是收藏夹）干什么。

009.jpg (274.73 KB)
2008-3-3 19:52




接下去就开始搞笑了，居然访问我机器上的wordpad.exe，居然连这个文字处理器也不放过吗？

010.jpg (291.71 KB)
2008-3-3 19:55




再看看这个，对windows系统目录查询操作的记录清晰可见.

011.jpg (247.38 KB)
2008-3-3 20:03




开始大批量下载种子文件了，下载速度的确非常之快，而且在下载的时候迅雷还是尽职的。
满屏幕的write，除了往迅雷指定的用户配置文件UserConfig.ini里写记录之外没有发现什么多余的操作。
看来多任务优先级定的很有针对性。为了保证网络下载速度快，多余的操作是绝对要回避的。

顺便提个小插曲，记得有些文章说迅雷上传不封顶，试验了一下设为上传200KB，
用FinitySoft Netowork Monitor监视，始终浮动在150KB-300KB之间，考虑到由于缓存带来的统计误差，
这个结果可以接受。

012.jpg (46.16 KB)
2008-3-3 22:43




继续。。。。。。。。。。。。
由于测到一半，Process Monitor崩溃。
只记录了大半的Log，那么就来重启动迅雷一下继续观测吧。
终于，过去一些网友指出的扫描目录问题终于彻底暴露了，见下图，从C：到C：\Document
再到windows系统目录，迅雷扫了个彻彻底底，这和一开始躲躲藏藏的掩饰手法不同，再启动
之后几乎有些赤裸裸了。


020.jpg (248.03 KB)
2008-3-4 10:06




我不禁有些头疼了，让我们来做个实验吧。
我把一个文件复制到我私有的目录C：\swordwu里，
马上迅雷就感知到了我的动作，可以猜想到迅雷在不停的截取windows文件变动的消息队列。
这个和我昨天的预测是完全一致的，迅雷不会傻到去检索所有的文件去对比文件是否有改变，
他只要保持对目录的监控，截取用户的动作即可。

021.jpg (249.02 KB)
2008-3-4 10:18




另外我又试着拷贝了几个电影文件(非迅雷下载)到迅雷上传目录里，
然后监测了一个小时左右，并未发现有上传迹象。
把所有文件全部删除之后，发现迅雷依然保持着2-4KB/s的上传量。

一开始记录Log的时候忽略了对RegQueryKey的跟踪
有网友指出，迅雷在不停的调用类型于下列的的语句
RegQueryKey HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\adult-engine-search.com
(同上）adult-erotic-guide.net adult-friends-finder.netwww adult-host.org adult-host.orgsexycat adult-mpg.netwww adult777search.info adultfilmsite.comwww adultmovieplus.com adultzoneworld.comwww adwarecommander.com
从其中的关键字可以猜出迅雷在干什么。

迅雷在下载时还是比较规范的，大量集中读写文件，没有多余的操作。
但是在空余的时间内，cid_store.dat， adtask.xml， recored.bin常常1秒钟内就有
7，8次读写操作，这些非共享资源文件的操作极大的占用了cpu和硬盘操作。


总结
确认迅雷干的事
1. 扫描了我的所有目录
2. 能发现我变动的文件
3. 迅雷能记录私人FTP的用户密码，但是否恶用我没有证据，只有自己家用FTP服务器被
迅雷用户侵入过以及过去一些国内下载站点所告发的事例。
4. 不断往system32/里读写cid_store.dat这个文件(几乎占了迅雷3分之一的时间片)
5. 迅雷的广告应该是不断更新去服务器读取数据的，但是占用的流量并不大。
但是由于迅雷的广告是好几个Flash一起运行，所以对系统性能影响还是不小。
6. 由于频繁的非相关性文件操作，相比较BT和eMule而言的确迅雷更耗硬盘。

确认迅雷没有干的事(前提条件是迅雷没有在系统内部动过手脚)
1. 迅雷关闭之后没有上传。
2. 迅雷没有上传非迅雷下载的东西
3. 迅雷没有对上传中的文件大量频繁读写
4. 迅雷没有用超过用户限制的上传带宽上传

感想:
这次的实验已经证明了迅雷软件当中的很多问题。
大量记录系统log(而且是应用软件应该回避的system32目录),大量调用Flash广告，搜索系统所有目录，记录用户文件操作，
将私人FTP信息上传等。

qwe兄提到的cid_store.dat这个文件上传共享文件是没有异议的，但是用户的隐私文件有没有被上传，我无法得知，
因为我在删除了上传文件之后，始终还有2-4KB的上传量。
当然也无法保证，会不会在下载了几天或是几周之后上传。

另外我这次是特地挑了一台机器重装了之后实验的，和大家手上具有大量下载文件
的情况无法比拟。所以这次的实验也是为了大家提供了一个参考的机会。

大家讨论吧

确认迅雷没有干的事(前提条件是迅雷没有在系统内部动过手脚)
1. 迅雷关闭之后没有上传。
2. 迅雷没有上传非迅雷下载的东西
3. 迅雷没有对上传中的文件大量频繁读写
4. 迅雷没有用超过用户限制的上传带宽上传


:D

我用的太监版迅雷，除了下载，其他功能全被阉了

引用:

原帖由 fadeaway 于 2008-3-7 11:28 发表
我用的太监版迅雷，除了下载，其他功能全被阉了

求地址

引用:

原帖由 jun4rui 于 2008-3-7 11:30 发表

求地址

早期多特版的，一点广告都没有，不知道现在有没有

[ 本帖最后由 fadeaway 于 2008-3-7 11:34 编辑 ]

所以才不要用迅雷下FTP啊

曾流氓

　　不到万不得以　不用讯雷

所谓的迅雷国际版 是不是好些？、

lz 去测试下？

流氓就流氓吧。反正下载用的是单位的机器。下载完传到台式机里。

但是你关不掉啊……我关了迅雷看进程，thunder.exe照样在

ls的用的是最新的版本的么。。。。。。。。。。。。。。。。。。。

:D:D:D

随便迅雷怎么搞吧 刚用VISTA的时候 用了很多BT软件修改TCP很是麻烦速度还是不稳定 当无意识用到迅雷下载BT 看到那速度泪流满面

很流氓！