Oddbean

作为一名安全工程师，我有话要说。屏幕截图似乎表明了一些令人不安的事情：开发人员可能通过互联网在安装了 Dowine 的 PC 上执行任何命令 - 这通常是特洛伊木马所做的。我正准备对 Dowine 进行逆向工程，因为我不希望付费木马保留在我的设备上。 --- 我已经完成了 Dowine 4 的逆向工程和行为分析。以下是一些发现和结论。我从官网下载了一份Downie 4.7.4并验证了签名。 1、威胁言论是直接写在代码里的，不是远程推送的。 2、Downie有一个内置的电子邮件列表，其中包含盗版用户使用的电子邮件地址。 Downie会首先匹配用户激活时使用的电子邮件地址，一旦发现用户的电子邮件地址属于盗版电子邮件地址列表，就会弹出威胁信息。匹配使用通配符。 3、Downie从com.apple.mail.plist中读取用户的系统邮箱地址进行盗版验证。 4、我在源代码中没有发现任何随机删除用户计算机文件的代码。 5、Downie不存在任何可疑或非法的联网行为。 —— Dowine4 threates a legitimate user with random deletion of files from my computer: https://old.reddit.com/r/mac/comments/1bbxs3f/dowine4_threates_a_legitimate_user_with_random/kud0436/ (Reddit)