mxh1998 2008-3-25 18:33
深度分析和猜想 谷歌拼音与Vista严重冲突
0X�d)j-p�u�}6R
�d�U�C/O6_.B�v(C&T
/A2n�T
C(t�u9m
4月4日早,谷歌中国低调发布谷歌拼音,4月5日晚即爆出谷歌拼音与Vista系统的严重问题:通过谷歌拼音输入法,任何用户都可以非法操作个人计算机!直至目前,主流媒体尚未对此做出任何报道。
^3E�v:X2n)w"d
'E7U0o�f�_5t�_�a&R2U
�V8s�B�b+}�c�^:D�S.~
据网友透露,在Vista平台下,使用谷歌拼音输入法的用户系统可能会遭到严重破坏。以下是水木社区网友所发原帖保存截图(为保证原文的完整与统一,笔者未作任何修改):�|"b+v�@4g2V y2S*j%D
*I�d�R#D.\ G�g7I%k2k
�m�T�x�H
]
d0b�W�_
<BR clear=all>[img]http://school.cfan.com.cn/system/vista/he/h002/h17/img200704081946320.jpg[/img]�G�I�Z;b,s
-S�k3U2O�p*I2f$I
图 谷歌拼音与Vista严重冲突
�Q�Z�k�R5O�V+{8c
6Z;A�`:@�K
C0b r�Q;}&~"@�y�C
说到上述的这个漏洞,笔者无法不说在Windows 2000时代曝出的让微软颜面全无的“巨无霸”式的漏洞:输入法漏洞。�}
X�O8|�@6d-^�z�W
y
8q#q3p�`5L.G�~�j�j9h
(p$D%D�T�h�r�v�l-k
在Windows 2000登录界面上,把鼠标放到用户名框里点击一下,用Ctrl Shift切换输入至全拼输入法,这时在登录界面左下角将出现输入法状态条,用鼠标右键点击状态条,在弹出菜单中选择“帮助”,把鼠标移到帮助上,在新弹出的选项里选择“输入法入门”,然后就会弹出一个叫“输入法操作指南”的帮助窗口。
4e%V�H7],Y�X#v�W8N
�W!y p�b-F
�I�L�`�z�Y j'f�|
这个窗口里有个栏目是“选项”,把鼠标放在该项上面点击右键,在新弹出的小窗口里选择“跳至URL”。此时将出现Windows 2000的系统安装路径和要求我们填入的路径的空白栏。�?�~�q8f9o�u)r�}
8w3O�f�E3}-a�C*u1b
�Q;l*S�R�j�d�C�q
假设系统安装在C盘上,就在空白栏中填入“c:\Windowsnt\system32”,然后按,在“输入法操作指南”右边的框里就会出现c:\Windowsnt\system32目录下的内容。这就成功地绕过了身份验证,进入了系统。9{�}1~�Q�V._�Q5h9[7J2{�v
�n�c�~)c�o$N;@ W
�_ T�X�e#z
该漏洞后来被微软的一个补丁予以封堵,但是时至今日,又曝出谷歌拼音与Vista系统的严重冲突,情形与Windows 2000时代十分相似。难道利用谷歌拼音真的是可以绕开Vista的登录系统为所欲为么?�@�P�I&n�M
3a'{�K�c5A'D
7J2@!C�w!Q�S�X�^3t�G�O�W
据笔者前后多次试验,利用谷歌拼音确实可以绕开系统登录口令,但是情况没有那那么严重,而且是局限性很大。如果你的计算机面对的是一个对系统命令不是特别熟悉的用户,基本不会有太大问题。
L,m�b N+t�[�D�X
!n(k T G�@�e
%X�f&L�W.W�b
但是笔者也特别说明,利用谷歌拼音确实可以绕开登录口令,并调用IE上网。�G)^�D5x�k6^�q-E
�|�_4H�Q*V�Z�~'|
/@(J*R�k
T
*f8B$k�k�l�e%d�I-\�p
:X�y8`�?7t
a�]�r&A�E�T
1}0C�U.m.X�g�`$i
}-^�[�m�K�]�Q�o!y�c
�f�[�n
^�j�v
b,q:l�u�A:`%r
�M!c�C�h3F$|
以下是笔者前后的几次试验经过和结果:
�n�t�K�I
d�t
�e�a'e�M�C$b
�^�E�H#s#Z
当用户看到Vista系统登录界面时,笔者按下“Ctrl Shift”组合键,却并没有调出谷歌拼音书法,只有系统自带的微软拼音输入法(如图1):�h(m'X�Q�v�y
"x�W+g(p�Q,P
!`(`+G�r2o6k
<BR clear=all>[img]http://school.cfan.com.cn/system/vista/he/h002/h17/img200704081946461.jpg[/img]
7[;}1g�L8[�A�L�_!w
0g4{�e%C�G�G-_%t
图1 登录界面
�p�f�p-v(H�f5^�B
�N�X�m�U�g
�{�@�C'i.I7W�t4v9F�C%L
这是为什么?难道网友所说的有错么?或者这只是推迟的“愚人节”玩笑?带着狐疑,笔者登录了系统,然后点击“开始”→锁定计算机,此时笔者再次按下“Ctrl Shift”组合键(或者直接在左下角点击输入法,选择谷歌拼音也可以)却调用出了谷歌拼音输入法,如图2):�q�E�E�H�w�E�E
)Q5Y5o�Y�z�l/E
�m&u/o"a�f t3R8F
[img][/img]
�P,N F
l�H�R
�n5i9J�G,H
n�H�S0U
图2 锁定登录状态时可以调用谷歌输入法5]�_�y�P/Z!z3|3C�k
�e w�C1f(H�f�~-g
�}�D/e�l
`�_-L:S�z
为了确保这样的情形不是“偶然的”,笔者将机器重启三次,一共做了六次测试发现情形还是与上述的情况一致。
�y'y d�A�s�j&T�C
�T&s�u�k�^3Z�X�U+L�V3A&g
�c�C*c7k�{!m�@�M�v�|�D
这说明,如果用户是冷启动系统,而不是在由锁定状态企图登录系统,谷歌拼音是无法对Vista系统造成任何损害的,所谓的“谷歌拼音与Vista冲突”的说法也就不复存在了。
.h�_�r6a3I
Q
i8M$k$]�b�d8m,a!w
�`�L7N�j1d6H,R�q
虽然排除了冷启动的危害,但是谷歌对Vista系统潜在的极度危害依然存在。为什么呢?请看笔者的进一步实验。�j�e�j8e/[
.h�b)l�v�e�N2L�c�s
�{.\�W5C�M%L�`)e
�e�q"N!N�M�E
,[�B�q \�K�H)U�`�X
�p�t�I�}�n�u(^�k
�} u�\*S�P;q
{ t
%B
k a�D7o7Y2j
�a�`.j/f�?-? Q
在系统登录的锁定状态下,调出谷歌拼音输入法,然后右键单击谷歌输入法图标,选择“帮助”(如图3): n:D�v7T2b�H
9_�[:u$q�o�r�e
�@5f�X�Q9e%?�]�q(b�l)x�|
<BR clear=all>[img]http://school.cfan.com.cn/system/vista/he/h002/h17/img200704081947283.jpg[/img]$w1D1d�F�c%y:f+]�W$c
�M�v�R,W5y�e
图3 调出谷歌拼音 右键单击它选择“帮助”�W4F�B�o#s2T�t/w�~
�W�b�S�q�K"k8^'y
2e�O�` @�a�w�I9[�w
单击“帮助”命令后,谷歌拼音将会自动调用它的“在线帮助”系统,这也就是等于间接打开了IE(如图4)!�|�v�H�i�`3t
�c$s�O�c�c�b�n�X
�G&a�S o�]�V�a
p&d
U�Q�B,u
[img][/img]
&?�O)^"Q:p7d$s�K3X1c�S5C
�z%] x�R�D�V%q�^�W
图4 谷歌拼音在线帮助系统打开了IE
}.C1S�d+d�u�I4j�w
�P�M�B�~�w�A
�V�M1p�q�\�f,E E
非法用户不用登录系统就可以调用IE,这也就意味着他可以使用IE做很多具有破坏性的事,比如下载病毒,安装木马等,所有网络上存在的坏事,他都可以做。!^4v8P�s�J�E�F)P2d$D(x2l
�R�}�Q�Y2}�P0H:F2T
(w�c&G4E�F�[9K.q�C9_�j
此外,如果企图登录你系统的非法用户对计算机系统命令非常熟悉,那么你所要遭受的破坏将是“毁灭性”的。请看图5,用户在IE中可以打开文件目录:
4e�s�T;\"u�p�L u�_�w
�f5r4l U�i�D
&N�k�f�h�[._(o:n!R,{
[img]http://school.cfan.com.cn/system/vista/he/h002/h17/img200704081948285.jpg[/img]'}�D)r�f(Q(|�D
�W4C8R�g�l'd
图5 打开文件目录:E+P)L�n�s�C"`�~�}�_
�V6j�f�y�T�L$u�@
(L%[
~�^ y�]
在图5状态下输入的命令在执行后,并不在登录界面前显示,必须是登录到系统之后才可以看到。所以说,如果非法用户如果很熟悉系统路径、命令,以及参数执行方法,那么他可以随意的删除、破坏,或者格式化你的系统!�L�W�X�~1z7b
�K!p/m�l�e�[�^�Q�V(_
/s�n�h�N�w4a�C!Q�c�x
直到目前,微软官方和Google(谷歌拼音)并为对此事发表看法,也没有推出相应的补丁和更新程序。面对这样的问题,如果你的机器内存有非常重要的文件和资料,建议最好先不使用谷歌拼音。)I+b�n)V�R�g4Z#{�B
a�f'H�U�o�x%N
�c�}
e�G!c1p�~�k
4e)R3f)x�g1Y�C%C5n.P
-])O$o#{�w:Q+m"^!{:e
�N#B"R3C�S
l4y
's8U�x�T�@(_�c2m
3n
o�q�T"q.\
i
-?.a!l#?"c�e�O#A�k t7y
Google一直对操作系统蠢蠢欲动,并已经推出了相关的“测试版”,如图6、7、8、9所示。难道这是Google故意给Vista来一个下马威?如果真的是这样,用一个小小的输入法让微软出丑,未免太不够“君子”。0a
y�U�S(?$n�]
�R�p.e*n)W�v
�v4\ e�Y3s4w I
<BR clear=all>[img]http://school.cfan.com.cn/system/vista/he/h002/h17/img200704081948406.jpg[/img]
#B�}'@�t8[�{�E�w
�T
y�E6]"]
Google系统引导过程
�y�c(f:e�r
h
0r�d�F�M�X(Y*I
,]/^/t/E'G"V$Q
[img]http://school.cfan.com.cn/system/vista/he/h002/h17/img200704081948427.jpg[/img]
�b7J�H�u�n2O
'd�~+~&[�K$\�C�o�V
Google操作系统截图
1o2O&{"x�C'u�W5|�j
w�C7[ z�w�R�F�z
#h8K�C8c$k(H�E
[img]http://school.cfan.com.cn/system/vista/he/h002/h17/img200704081948528.jpg[/img]"d�d.e�v�j�p&w�b
&B�r�a�k�k
Google操作系统截图-`�k�{&U�x
I4^9X1q
�f-f�E�[�h1W�Q:x3G
3f�d�i�Y�v4c+u(L�H�G
[img][/img]
�q%V;g/N�?�g�b O
-F7A n:W�k#o
Google操作系统截图
�F�`�p
x�n�m�[
�g�T5h ~�@�d/Y�{
)S)N+p(@�?.O
[img]http://school.cfan.com.cn/system/vista/he/h002/h17/img2007040819490510.jpg[/img]8j�t�?�?,f�}
�s�T(L0z�b7[7n
Google操作系统截图
/N w(p/s�G,o Q�t:M
0J�s'Y5l�h/S0w b�W
3r:|�z%d5d�o�q$Q
当然,用输入法让微软出丑的说法,只是笔者个人的“搞笑猜想”,我想更多的应该还是“软件冲突”层面上的问题。
3B.d�n0L�x�T
5?&S:u4N�C�Z�~&Y
)M�c0V7C�\�X6s%I
摆在大家面前的是问题依然存在,我们这些普通用户最关心的是谁来解决这一严重问题。我们将会继续关注这一“冲突事件”的进展,请大家随时关注。