中國的互聯(lián)網(wǎng)公司做事情的浮躁已是眾所周知。在瀏覽器行業(yè)，各種加殼瀏覽器在Webkit和Trident上套個(gè)馬甲，再加點(diǎn)組件，動輒就冠之以"最快"、"最安全"來裝點(diǎn)自己。你別說，人家還不臉紅。

我一個(gè)在Chrome開發(fā)團(tuán)隊(duì)的哥們告訴我，Chrome 90%的開發(fā)資源只用來做3件事：快、安全、穩(wěn)定。

這就是差距。

本文要吐槽的是"安全瀏覽器"。說實(shí)話，瀏覽器+安全的概念不錯(cuò)，雖然內(nèi)核是人家的，自己還是能折騰出點(diǎn)花樣的。但這幾天看到某知名廠商隨時(shí)把"最安全"掛在嘴邊，我憤青的內(nèi)心就被撩動了。

大家也許已經(jīng)猜到了是哪家廠商，歡迎對號入座。其實(shí)，是哪家廠商、哪款瀏覽器真的不重要。重要的是，用戶自己要做到心中有數(shù)，別中了人家陰招還在說感謝。

舉例來說，當(dāng)你網(wǎng)購時(shí)，有"經(jīng)驗(yàn)"的賣家會"好心"向你推薦某知名安全瀏覽器，主打安全，你還心存感激。所以當(dāng)他發(fā)你一個(gè)鏈接，該瀏覽器沒報(bào)任何風(fēng)險(xiǎn)，你就放心大膽支付消費(fèi)了。結(jié)果呢？這是一個(gè)釣魚陷阱，你的資金早已直接捐給了騙子。安全瀏覽器真的安全嗎？

純粹技術(shù)分析太過于抽象，我選擇360安全瀏覽器、獵豹瀏覽器和谷歌Chrome作為分析對象。為什么選這三款呢？360安全瀏覽器和獵豹瀏覽器都出身于國內(nèi)主流安全廠商，體現(xiàn)了國內(nèi)最高的安全實(shí)力，目前也均賣力主打安全牌；Chrome則是國際上公認(rèn)最安全的產(chǎn)品之一，包括Firefox也采用了Chrome的一些安全技術(shù)。IE呢？就不用提了吧。

瀏覽器安全應(yīng)該需要什么指標(biāo)？

有同學(xué)可能會說，安全應(yīng)該是殺毒軟件的工作職責(zé)呀。是的，完全正確。殺病毒、攔釣魚確實(shí)是殺毒軟件的份內(nèi)事。但如果只能依靠殺毒軟件，所謂安全的瀏覽器就只能稱之為坑爹貨！既然取名安全或者主打安全牌，就要拿出點(diǎn)干貨來！

那么，安全的瀏覽器需要什么干貨呢？顧名思義，就是你在瀏覽器內(nèi)進(jìn)行的任何操作都應(yīng)該是受到保護(hù)和避開風(fēng)險(xiǎn)的。通俗地說，你訪問色情網(wǎng)站，它要保證你不中毒；你網(wǎng)上購物，它要保證你不被盜；你登錄微博，它要保證你的隱私不會泄露……

從技術(shù)角度來講，安全的瀏覽器需要攔截別有用心的人一切可能的瀏覽攻擊行為，至少要包括以下幾個(gè)部分：

釣魚網(wǎng)址訪問攔截

 掛馬網(wǎng)站訪問攔截

下載文件安全檢測

防止鍵盤敲擊遭記錄

木馬程序執(zhí)行攔截

系統(tǒng)內(nèi)核保護(hù)

網(wǎng)購支付頁面防篡改

……

這些標(biāo)準(zhǔn)是不是過于嚴(yán)格？安全無小事。恰恰相反，以上這些是最最基本的，缺任何一項(xiàng)都存在風(fēng)險(xiǎn)。比如，如果沒有木馬攔截，對方發(fā)給你一張"寶貝細(xì)節(jié)圖"，你就可能已經(jīng)中招，支付后才發(fā)現(xiàn)沒轉(zhuǎn)到支付寶上，錢款徹底無影蹤。你要沒中過招，問問身邊的人，就知道網(wǎng)絡(luò)有多危險(xiǎn)了。

你的安全瀏覽器掛了幾個(gè)鉤？

哪款瀏覽器能實(shí)現(xiàn)上述功能？我采用了一個(gè)工具進(jìn)行分析，可通過查看它掛了什么"鉤子"（Hook）來判斷它在哪些地方做了安全監(jiān)控，再通過代碼逆向的方式查看它具體設(shè)計(jì)了哪些功能？

"鉤子"，程序設(shè)計(jì)中的一個(gè)專業(yè)名詞。Windows系統(tǒng)中存在一些重要的系統(tǒng)關(guān)鍵點(diǎn)，在這些關(guān)鍵點(diǎn)上"掛鉤子"，如下圖，就可以在Windows原生程序流程的基礎(chǔ)上運(yùn)行額外的程序，實(shí)現(xiàn)特定的功能。如果要做安全防護(hù)，同樣可以在一些關(guān)鍵處掛上安全監(jiān)控的鉤子。

圖注：鉤子（Hook）可以在Windows原生程序流程上增加關(guān)鍵點(diǎn)，運(yùn)行額外的程序功能。

一般來說，系統(tǒng)中最關(guān)鍵的位置往往是內(nèi)核，它負(fù)責(zé)管理系統(tǒng)的進(jìn)程、內(nèi)存、設(shè)備驅(qū)動程序、文件和網(wǎng)絡(luò)系統(tǒng)，是一個(gè)操作系統(tǒng)的核心。任何程序包括惡意程序從啟動到關(guān)閉的整個(gè)過程，都離不開內(nèi)核的管理。因此，幾乎所有安全軟件都會在內(nèi)核上掛鉤子--內(nèi)核鉤子。

形象地來說，安全軟件所掛的內(nèi)核鉤子，就像在機(jī)場內(nèi)登機(jī)必經(jīng)的路口設(shè)置安檢處，驗(yàn)證為安全的人和包裹（程序）就放行，驗(yàn)證為風(fēng)險(xiǎn)的就攔截并及時(shí)處理掉。因?yàn)樗械菣C(jī)的人和包裹均是經(jīng)過安全檢查的，所以保證了飛機(jī)的飛行安全和乘客安全。如下圖。

圖注：安全軟件所掛的內(nèi)核鉤子，就相當(dāng)于在機(jī)場中的必經(jīng)之處設(shè)置安檢一樣。

我使用圈里人愛用的一個(gè)Anti-Rootkit（簡稱ARK）工具XueTr.exe查看，Chrome和360瀏覽器都沒有掛內(nèi)核鉤子，而獵豹瀏覽器則掛了2個(gè)內(nèi)核鉤子，如下圖，掛鉤位置均是其驅(qū)動文件KNBDrv.sys。這個(gè)文件也可在獵豹瀏覽器的安裝目錄中查看到，\liebao\LBBrowser\Module\security\。

 圖注：獵豹瀏覽器在驅(qū)動文件KNBDrv.sys中掛了2個(gè)內(nèi)核鉤子，可進(jìn)行系統(tǒng)安全檢查。

圖注：360安全瀏覽器并沒有掛內(nèi)核鉤子，無法進(jìn)行系統(tǒng)安全攔截。

沒掛內(nèi)核鉤子意味著什么？正如上面所說，系統(tǒng)內(nèi)核已經(jīng)失守，無法保證沒有風(fēng)險(xiǎn)。如果有一個(gè)程序啟動，你無法驗(yàn)證這是一個(gè)正常程序還是一個(gè)木馬病毒程序；如果有一個(gè)程序被關(guān)閉，你仍然無法得知是正常關(guān)閉還是你的安全防御程序被惡意關(guān)閉……風(fēng)險(xiǎn)程度可想而知。

從這個(gè)角度來說，360安全瀏覽器和Chrome并不具備系統(tǒng)安全防護(hù)能力。套用網(wǎng)購欺詐者常用的手段，在你使用這兩款瀏覽器在網(wǎng)上購物時(shí)，對方通過即時(shí)通訊工具如QQ等發(fā)送"寶貝細(xì)節(jié)圖"文件給你，實(shí)為網(wǎng)購木馬病毒文件，雙擊打開后，木馬啟動運(yùn)行，乃至篡改賬號劫持交易，這兩款瀏覽器因?yàn)闆]有監(jiān)控而會一直無動于衷。

代碼逆向查驗(yàn)本質(zhì)

有2個(gè)內(nèi)核鉤子的獵豹瀏覽器能否防住？這需要更深入地對它進(jìn)行研究。我用逆向工程代碼破解工具IDA Pro對它的KNBDrv.sys進(jìn)行了反匯編，如下圖。

圖注：用IDA Pro逆向獵豹瀏覽器的文件knbdrv.sys，查看它有什么函數(shù)，具備什么功能。

逆向代碼之后，可以看到獵豹瀏覽器設(shè)置了如下攔截點(diǎn)：創(chuàng)建線程、創(chuàng)建進(jìn)程、掛起進(jìn)程、保護(hù)虛擬內(nèi)存、終止進(jìn)程、寫入虛擬內(nèi)存等，如下圖紅框中。表示什么意思呢？就是此鉤子可以對系統(tǒng)中上述任何一個(gè)動作進(jìn)行安全驗(yàn)證。

圖注：獵豹瀏覽器設(shè)置了眾多攔截點(diǎn)，系統(tǒng)中出現(xiàn)任何此類動作都可及時(shí)獲知。

更直觀地來說，系統(tǒng)中任何進(jìn)程的啟動或關(guān)閉，獵豹瀏覽器憑借這些鉤子函數(shù)均要檢查，利用金山固有的云安全平臺，即可判定此程序（進(jìn)程）是黑是白。正常文件當(dāng)然OK，如果是木馬病毒在啟動，當(dāng)然就會進(jìn)行攔截。

再啰嗦幾句

看了上面的分析其實(shí)大家都明白了的，但還是忍不住再多說幾句，下個(gè)結(jié)論。

憑借360的云安全平臺，360安全瀏覽器實(shí)現(xiàn)釣魚攔截、下載文件鑒定不成問題，但這還遠(yuǎn)不能保證瀏覽安全和網(wǎng)購安全。對惡意程序的啟動攔截，360瀏覽器還不能獨(dú)立進(jìn)行，需要嚴(yán)重依賴360安全衛(wèi)士或者360殺毒。就這，如果說自己是"安全瀏覽器"，還馬馬虎虎過得去，但如果動輒當(dāng)"最"字輩，就只兩個(gè)字形容：坑爹。

Chrome呢？口碑很安全，但沒抓到內(nèi)核鉤子，我分析是由于Chrome采用了沙盒技術(shù)。它只要保證自己的程序不被惡意程序攻破即可，系統(tǒng)防護(hù)它可以不予考慮。關(guān)于沙盒技術(shù)，已有不少介紹，不再詳述。

獵豹瀏覽器還真的讓我有點(diǎn)意外，他們家包裝了個(gè)BIPS概念，說實(shí)話，我沒興趣。但是獵豹確實(shí)把毒霸的K+和云安全都植入到了內(nèi)核里，要不我們在逆向的時(shí)候也看不到內(nèi)核鉤子了。當(dāng)然，到底這一套玩意能不能經(jīng)得起實(shí)戰(zhàn)，需要做大量專業(yè)測試。我沒測試，就不多說了。單從程序的邏輯分析來看，獵豹瀏覽器具有內(nèi)核鉤子、逆向出來的函數(shù)覆蓋全面，再結(jié)合云安全技術(shù)，獵豹瀏覽器做到上述防御是完全可行的。

再再啰嗦幾句

1、做安全也好，做瀏覽器安全也好。其實(shí)拼的還是實(shí)力和積累。買來的引擎用在殺毒上尚可，但要植入到瀏覽器，終究會現(xiàn)原形。

2、國產(chǎn)瀏覽器如果真的做到了安全，喝水別忘挖井人，保持對Chrome、Firefox甚至IE的敬畏和感激是起碼的。動輒吹噓自己"最安全"，你讓肯花幾千美金買個(gè)漏洞Chrome情何以堪？

3、本文純技術(shù)分析，你可以對號入座，但謝絕口水，謝絕腦殘粉絲價(jià)值觀灌輸。本人不吃這一套。