作为一名安全工程师,我有话要说。屏幕截图似乎表明了一些令人不安的事情:开发人员可能通过互联网在安装了 Dowine 的 PC 上执行任何命令 - 这通常是特洛伊木马所做的。我正准备对 Dowine 进行逆向工程,因为我不希望付费木马保留在我的设备上。
---
我已经完成了 Dowine 4 的逆向工程和行为分析。以下是一些发现和结论。
我从官网下载了一份Downie 4.7.4并验证了签名。
1、威胁言论是直接写在代码里的,不是远程推送的。
2、Downie有一个内置的电子邮件列表,其中包含盗版用户使用的电子邮件地址。 Downie会首先匹配用户激活时使用的电子邮件地址,一旦发现用户的电子邮件地址属于盗版电子邮件地址列表,就会弹出威胁信息。匹配使用通配符。
3、Downie从com.apple.mail.plist中读取用户的系统邮箱地址进行盗版验证。
4、我在源代码中没有发现任何随机删除用户计算机文件的代码。
5、Downie不存在任何可疑或非法的联网行为。
—— Dowine4 threates a legitimate user with random deletion of files from my computer: https://old.reddit.com/r/mac/comments/1bbxs3f/dowine4_threates_a_legitimate_user_with_random/kud0436/ (Reddit)
cxplay_clip / CXPLAY's Clip
npub18dc…sy5z
2024-03-12 05:02:23
in reply to nevent1q…a5ts
Author Public Key
npub18dcx3xj3zg457k8kxkfmr03a0ltjhsq046tnhdq097m5ms0r284sc0sy5zPublished at
2024-03-12 05:02:23Event JSON
{
"id": "c0a5f6d6b35fb42c72640ec11f9d98241534ce1d1f45f84068046c02a57a46ec",
"pubkey": "3b70689a51122b4f58f63593b1be3d7fd72bc00fae973bb40f2fb74dc1e351eb",
"created_at": 1710216143,
"kind": 1,
"tags": [
[
"e",
"01ac47288823c99b7a047183d659b326283fd407fa3589562d49c9ea9c2659a2",
"root"
]
],
"content": "作为一名安全工程师,我有话要说。屏幕截图似乎表明了一些令人不安的事情:开发人员可能通过互联网在安装了 Dowine 的 PC 上执行任何命令 - 这通常是特洛伊木马所做的。我正准备对 Dowine 进行逆向工程,因为我不希望付费木马保留在我的设备上。\n---\n我已经完成了 Dowine 4 的逆向工程和行为分析。以下是一些发现和结论。\n我从官网下载了一份Downie 4.7.4并验证了签名。\n1、威胁言论是直接写在代码里的,不是远程推送的。\n2、Downie有一个内置的电子邮件列表,其中包含盗版用户使用的电子邮件地址。 Downie会首先匹配用户激活时使用的电子邮件地址,一旦发现用户的电子邮件地址属于盗版电子邮件地址列表,就会弹出威胁信息。匹配使用通配符。\n3、Downie从com.apple.mail.plist中读取用户的系统邮箱地址进行盗版验证。\n4、我在源代码中没有发现任何随机删除用户计算机文件的代码。\n5、Downie不存在任何可疑或非法的联网行为。\n—— Dowine4 threates a legitimate user with random deletion of files from my computer: https://old.reddit.com/r/mac/comments/1bbxs3f/dowine4_threates_a_legitimate_user_with_random/kud0436/ (Reddit)",
"sig": "1afa5bbcca8d6b66f8715b2deed4a6ae0b5961c8b3ff8c00134c6c7190c6853cc6e0162830af820782713025b3aa282f56256a674a99778379465ea5a36e3da0"
}