Oddbean new post about | logout
 作为一名安全工程师,我有话要说。屏幕截图似乎表明了一些令人不安的事情:开发人员可能通过互联网在安装了 Dowine 的 PC 上执行任何命令 - 这通常是特洛伊木马所做的。我正准备对 Dowine 进行逆向工程,因为我不希望付费木马保留在我的设备上。
---
我已经完成了 Dowine 4 的逆向工程和行为分析。以下是一些发现和结论。
我从官网下载了一份Downie 4.7.4并验证了签名。
1、威胁言论是直接写在代码里的,不是远程推送的。
2、Downie有一个内置的电子邮件列表,其中包含盗版用户使用的电子邮件地址。 Downie会首先匹配用户激活时使用的电子邮件地址,一旦发现用户的电子邮件地址属于盗版电子邮件地址列表,就会弹出威胁信息。匹配使用通配符。
3、Downie从com.apple.mail.plist中读取用户的系统邮箱地址进行盗版验证。
4、我在源代码中没有发现任何随机删除用户计算机文件的代码。
5、Downie不存在任何可疑或非法的联网行为。
—— Dowine4 threates a legitimate user with random deletion of files from my computer: https://old.reddit.com/r/mac/comments/1bbxs3f/dowine4_threates_a_legitimate_user_with_random/kud0436/ (Reddit)