360後門事件

起因

2010年2月2日，瑞星向媒體和用戶通發新聞，說360軟體有後門，惡意詆毀中傷360品牌。對此，360安全中心發表嚴正聲明：免費的360防毒自2009年10月20日推出以來，市場份額快速上升，短短几個月超越瑞星，成為市場第一，從而招致瑞星打擊報復。對瑞星這種公然造謠的行徑，360將堅決提起訴訟。

被瑞星狀告為後門的360程式，是一個執行Anti-Rootkit功能的驅動程式，它的作用是強力檢測和清除木馬、病毒，讓使用核心技術的木馬（Rootkit）無處隱藏。這是一種在國際上比較流行的防毒技術，在卡巴斯基、Avast、趨勢、Bitdefender等安全軟體中都有相應的模組。瑞星公司狀告指認Anti-Rootkit功能的驅動程式為後門，是對網民的欺騙。瑞星公司不能正確使用這項技術，是瑞星防毒軟體查殺能力較弱的原因之一。

360的合法性

360旗下的360安全衛士、360防毒等產品均已經過公安部嚴格檢測，是國家許可發行的合法安全軟體。而瑞星狀告中使用的所謂後門之說，在我國《刑法》中被定義為惡意的破壞性程式，任何製作、傳播後門程式的行為都是違反法律的。360認為：瑞星造謠360軟體有後門，是毫無根據的、性質極為惡劣的誹謗詆毀。

根據艾瑞諮詢公司的最新數據測算，360防毒的總用戶數已從1000萬躍升至1.3億，用戶覆蓋率從8%升至33%以上。而在此期間，瑞星防毒的市場份額持續下降，已跌至2010年2月份的30%以下。與此同時，經第三方機構權威測評，360防毒產品在病毒檢出率、系統資源占用、查殺速度、誤殺率等各項指標上均名列前茅，遙遙領選於瑞星防毒。

360安全中心鄭重承諾：360旗下系列安全軟體的用戶數已超過3億，所有產品絕不會侵犯用戶隱私，歡迎廣大網民監督。對於瑞星公司這種喪失道德底線的惡性競爭，我們再次表示最強烈的譴責，並將堅決採取法律手段保護自己的合法權益。

技術

360安全衛士後門程式涉及的主要檔案是：在安裝進入系統時自帶的驅動檔案bregdrv.sys、bfsdrv.sys，以及對這兩個驅動檔案調用的動態程式庫bregdll.dll、bfsdll.dll。

bregdrv.sys：360核心模式驅動，該驅動程式通過調用作業系統的未公開CmXxx系列函式來操作註冊表，另外由於作業系統內部本身維護了很多同步數據、快取數據，直接調用CmXxx系列函式操作註冊表極有可能造成系統內部數據不同步，嚴重影響系統安全性，甚至可能導致用戶正常數據丟失；bregdll.dll：用戶態動態庫，該動態庫封裝了對bregdrv.sys的調用，為用戶態程式提供註冊表操作後門的接口；該動態庫仿照Windows作業系統API接口（加B作為前綴）導出了如下註冊表操作函式，但與WindowsAPI不同的是，bregdll.dll導出的函式在實現上繞過了作業系統的所有安全檢查，直接調用極為低層的未公開CmXxx系列函式實現：

360後門部分功能代碼截圖一

1.BRegCloseKey

2.BRegCreateKey

3.BRegCreateKeyEx4.BRegCreateKeyExW

5.BRegCreateKeyW 6.BRegDeleteKey7.BRegDeleteKeyW8.BRegDeleteValue

9.BRegDeleteValueW 10.BRegEnumKey11.BRegEnumKeyEx12.BRegEnumKeyExW

13.BRegEnumKeyW 14.BRegEnumValue15.BRegEnumValueW16.BRegOpenKey

17.BRegOpenKeyEx 18.BRegOpenKeyExW19.BRegOpenKeyW20.BRegQueryValueEx

21.BRegQueryValueExW22.BRegSetValueEx23.BRegSetValueExW

bfsdrv.sys，該驅動程式通過直接向檔案系統傳送I/O請求包（IRP）來實現檔案操作，這種方式可以繞過基於過濾驅動的檔案監控（包括卡巴斯基、諾頓等安全軟體）。由於該程式沒有對調用者進行檢查，導致可以被任意程式（如各種木馬程式等）利用達到修改、刪除用戶正常檔案的目的。

bfsdll.dll：用戶態動態庫，該動態庫封裝了對bfsdrv.sys的調用，為用戶態程式提供檔案操作後門的接口；該動態庫仿照Windows作業系統API接口（加FS或Bfs作為前綴）導出了如下檔案操作函式，但與WindowsAPI不同的是，bfsdll.dll導出的函式在實現上繞過了所有檔案系統上層的過濾驅動，直接向檔案系統傳送I/O請求包實現：

1.BfsMoveFileExW 2.FSCloseHandle3.FSCopyFile4.FSCopyFileW

5.FSCreateFile 6.FSCreateFileW7.FSDeleteFile8.FSDeleteFileW

9.FSFindClose10.FSFindFirstFile11.FSFindFirstFileW 12.FSFindNextFile

13.FSFindNextFileW14.FSGetFileAttributes15.FSGetFileAttributesEx

16.FSGetFileAttributesExW17.FSGetFileAttributesW18.FSGetFileSize

19.FSGetFileSizeEx20.FSGetLongPathName21.FSGetLongPathNameW

22.FSGetShortPathName23.FSGetShortPathNameW24.FSPathFileExists

25.FSPathFileExistsW26.FSPathIsDirectory27.FSPathIsDirectoryW

28.FSReadFile 29.FSSearchPath30.FSSearchPathW31.FSSetFileAttributes

32.FSSetFileAttributesW33.FSSetFilePointer34.FSSetFilePointerEx 35.FSWriteFile上述API均通過DeviceIoControl/NtDeviceIoControlFile來調用驅動提供的不同檔案操作功能，這些操作均會繞過基於過濾驅動的檔案監控。

360後門部分功能代碼截圖二

360是否存在問題

360安全衛士沒有遵循正常的作業系統安全機制，卻直接繞開了系統安全檢查機制。其不僅具有“後門”功能，而且該程式存在重大安全隱患，利用此程式不需要任何身份認證，可輕易被黑客利用窺視用戶隱私、讀取、修改或刪除用戶電腦中的所有檔案和註冊表信息。

例如，任意普通用戶可以在低許可權的情況下實現刪除系統安裝的安全軟體，隱藏自己的惡意程式。而通過bregdrv.sys對註冊表的操作，可以利用其在系統底層任意操作註冊表的許可權，達到更多的目的，如：

通過修改註冊表存儲的用戶信息，將guest用戶激活並克隆成管理員，但是在系統表面看來，guest用戶仍然是被禁用的。

通過修改註冊表實現映像劫持，將sethc.exe（系統粘滯鍵功能）替換成cmd.exe，這樣就可以實現在登錄界面上按5下shift鍵直接呼出一個系統許可權的cmdshell視窗，執行任意指令。

2010年2月3日下午，瑞星公布了360安全衛士“後門”技術細節，請奇虎360儘快停止安裝“後門”，停止侵害用戶權益的行為。對此，360向媒體傳送了“緊急提醒”，稱瑞星公布後門技術已經涉嫌觸犯刑法，將就此正式起訴瑞星。

各位尊敬的媒體朋友：

瑞星這幾天接連發布攻擊360的文章，已遠遠超出正常口水戰的分寸和尺度，不但公然捏造所謂360“後門”的技術細節，而且竟然公開發布針對360的攻擊代碼，這種做法已直接觸犯刑法，別說安全廠商，連大多數黑客都不敢這么做。

在安全行業，公布攻擊代碼相當於傳播病毒，刑法將這種行為定義為“提供專門用於侵入、非法控制計算機信息系統的程式”。在瑞星之前，即便是黑客和木馬團伙，也很少有人敢在國區域網路站上以正式身份公布攻擊代碼。瑞星作為一家安全廠商，為了打擊對手，竟然公然在自己官網和其它媒體上公布攻擊代碼，這種行為相當於號召黑客和木馬犯罪團伙對360發動一場聯合攻擊，不但已觸犯刑法，而且完全置近3億網民(其中有幾千萬同時也是瑞星自己的用戶)的安危於不顧!這在全世界範圍內尚無先例，已完全超出正常人的理智。

我們對瑞星這種完全不計後果的做法感到十分震驚和錯愕，為此將於今天正式向法院起訴，並向公安機關報案。此事已不再是簡單的口水戰，發展下去後果難測，希望媒體朋友們不要再發表瑞星的稿件，以免卷進不必要的麻煩，已經發布攻擊代碼和所謂“後門”細節等稿件的媒體，也請儘快撤除。

2010年2月9日，奇虎360稱，360安全衛士通過了國家信息安全產品測評，測試中沒有發現360安全衛士有“後門”，也沒有發現360安全衛士有漏洞。

據奇虎方面介紹，奇虎360已就瑞星公司的惡意誹謗行為向北京西城區人民法院提起訴訟，並就瑞星散布攻擊代碼、誘發大批黑客攻擊網民的行為向公安機關報案。而瑞星公司相關人員則表示，截至2010年2月9日，瑞星尚未接到來自法院的任何檔案，該人士表示，瑞星發現360安全衛士存在“後門”，並對相關證據進行了公證，瑞星不害怕打官司。

業內人士分析認為，瑞星與奇虎的口水仗不僅是防毒軟體市場免費與收費之爭，更是軟體用戶之爭。

昨日，360安全專家石曉虹介紹說，由中國信息安全測評中心出具的安全測評報告結果表明，360安全衛士通過了Anti-Rootkit及其他漏洞和用戶隱私泄露的脆弱性評估測試，測試中沒有發現有漏洞，也沒有發現360安全衛士會泄露用戶的隱私。

據了解，中國信息安全評測中心是我國專門從事信息技術安全測試和風險評估的權威職能機構，主要職能包括負責信息技術產品和系統的安全漏洞分析與信息通報等。

然而，這份檢驗結果卻與這場口水仗的另一主角瑞星此前的說法大相逕庭。

2010年2月2日，瑞星發布公告稱，發現360安全衛士在安裝進用戶電腦時，會偷偷開設“後門”。

瑞星方面相關人士解釋稱，“後門”是軟體編寫人員故意放入的，正常軟體不會編寫放置“後門”，作為用戶安全保護者的安全軟體更不能有任何“後門”，只有黑客程式才會出於不正當的目的，為竊取用戶信息加入“後門”。

對此，奇虎方面回應稱，被瑞星稱為“後門”的驅動程式Anti-Rootkit是國際上比較流行的防毒技術，在國外多款著名防毒軟體上都有相應模組，它的作用是強力檢測和清除木馬、病毒，讓使用核心技術的木馬無處隱藏。

2010年2月9日，瑞星公司相關人員對記者表示，截至2月9日，瑞星尚未接到來自法院的任何檔案。

不過，據一位知情人士透露，奇虎已經將北京藝進娛輝科技投資公司（2008年6月，北京瑞星科技股份有限公司更名為北京藝進娛輝科技投資股份有限公司，法定代表人仍是瑞星董事長王莘）和北京瑞星信息技術公司訴至法院，要求對方賠禮道歉、賠償經濟損失100萬元和精神損失1元。

針對奇虎的起訴，瑞星公司工作人員在接受媒體採訪時表示，截至目前尚未收到相關檔案。同時，他表示，瑞星公司作為信息安全廠商，有責任公布360安全衛士開設 “後門”一事，因為“後門”事件涉及社會網路安全問題。

面對媒體質疑，該人士表示，瑞星發現這款軟體存在“後門”，並對相關證據進行了公證，瑞星不害怕打官司，並對所發布的技術報告承擔所有法律責任。

實際上，瑞星與奇虎的“口水仗”從奇虎宣布軟體免費時就開始上演。而第三方數據顯示，截至2009年底，360安全衛士的市場份額已超過72.8%，用戶超過2.1億。有訊息人士稱，360安全衛士已超越瑞星占據國內市場份額第一的寶座。

一位不願意透露姓名的業內人士認為，瑞星與奇虎的競爭代表著傳統收費與網際網路免費兩種理念的交鋒，“免費模式無疑更容易博得用戶眼球，同時也觸動了收費者的蛋糕。”

此前，瑞星等多家傳統防毒軟體廠商曾表示，由於軟體安全產品投入巨大，每年投入的研發服務費用高達數億，免費模式根本無法支撐這種投入。

對此，奇虎高層齊向東卻認為，防毒早已是網際網路的基礎服務之一，應該免費向使用者提供。在形成大規模的用戶群體後，只要提供一點增值服務，即可實現盈利。

針對2010年間網上流傳的360安全衛士存在“後門”的傳言，中國信息安全測評中心2010年02月09日出具測評報告表明：經過嚴格的技術審查和安全性測試，“360安全衛士客戶端 V6.1.5.1010”通過了國家信息安全產品測評，獲得了國家信息安全測評EAL2級證書。測試過程沒有發現“360安全衛士客戶端 V6.1.5.1010”有“後門”，也沒有發現“360安全衛士客戶端 V6.1.5.1010”有漏洞。

360安全衛士 資料圖片

中國信息安全測評中心是我國專門從事信息技術安全測試和風險評估的權威職能機構。依據中央授權，測評中心的主要職能包括：負責信息技術產品和系統的安全漏洞分析與信息通報；負責黨政機關信息網路、重要信息系統的安全風險評估；開展信息技術產品、系統和工程建設的安全性測試與評估等。自1997年創立以來，測評中心依照國家法律法規，在信息安全領域為國家提供技術保障，向社會提供公共服務。

中國信息安全評測中心檢測結果表明：“360安全衛士客戶端 V6.1.5.1010”通過了Anti－rootkit及其他漏洞和用戶隱私泄露的脆弱性評估測試，結果沒有發現漏洞，也沒有發現泄露用戶隱私。該測試結果表明，“360安全衛士客戶端 V6.1.5.1010”並沒有發現有“後門”。

此前，著名反病毒專家、國家863計畫“計算機實時防護技術”課題組組長劉旭，在分析了網上流傳的截圖和代碼後也表示，所謂的360“後門”並不存在。 對於網上有人“捏造”所謂“360後門”的謠言，奇虎360公司總裁齊向東認為，這是一種以傷害網民為代價的不正當競爭行為。作為一種永久免費的網際網路安全產品，360系列軟體一經推出就得到了廣大網際網路用戶的歡迎。“尊重用戶的知情權、選擇權，和保護用戶的隱私權，這是360公司一直堅持的商業準則。”

2010年7月1日訊息，今日奇虎360訴瑞星不正當競爭案開庭，奇虎360要求瑞星賠償經濟損失980萬元。 據了解，2010年2月瑞星指出360軟體留有“後門”，奇虎360認為瑞星是惡意誹謗，並指出被瑞星造謠有“後門”的360程式，實際上是一種高端的反木馬偵測、清除與修復技術(Anti-rootkit)。“漏洞”與“後門”是完全兩個不同的概念，但瑞星故意將兩者混淆。

奇虎360就瑞星指出360軟體留有“後門”一事向北京西城區人民法院提起訴訟，要求瑞星賠償經濟損失880萬元，並向北京市公安機關報案。

奇虎360要求瑞星與北京藝進娛輝科技投資股份有限公司停止對原告的不正當競爭行為;並在中央電視台、北京青年報、北京晚報等媒體上公開澄清事實、賠禮道歉;並共同賠償原告經濟損失980萬元，精神損失1元。

對此，瑞星方面給予反駁，稱奇虎360宣稱旗下的360品牌和360安全衛士產品在界內享有較高的知名度和美譽度的內容缺乏事實證據，並指出現有證據無法證明原告就360安全衛士全部軟體產品均合法取得過公安部核發的檢測合格證書與銷售許可證。

瑞星指出，針對奇虎品牌的上述版本360安全衛士軟體給予“安全隱患”揭露，沒有具體指向奇虎360。瑞星不存在《反不正當競爭法》規定的“捏造、散步虛偽事實”的行為和言論;

瑞星稱，迄今為止奇虎360早已享有了較高的商譽，且其軟體系免費下載，無任何客觀、實際經濟損失。

據悉，奇虎訴瑞星不正當競爭案正在當庭審理，奇虎與瑞星雙方還在激烈辯論，案例暫未宣判。

2011年5月10日，北京市西城區法院公開宣判奇虎360起訴瑞星公司“捏造事實，以不正當競爭手段惡意攻擊奇虎360商業信譽和商品信譽”一案。法院認定，瑞星公司從事了侵犯奇虎360商業信譽、商品聲譽的不正當競爭行為，其行為構成不正當競爭，應當承擔相應的侵權責任。因此判定，瑞星公司立即停止針對奇虎360的不正當競爭行為，在《北京青年報》上連續十天發表道歉聲明，並賠償奇虎360公司20萬元。

2010年2月2日，瑞星利用其運營的官方網站廣泛傳播所謂“360給用戶裝‘後門’”的文章，稱360安全衛士在安裝進用戶電腦時，會私下開設“後門”，而此“後門”存在巨大安全隱患。黑客可以利用此後門對系統註冊表和用戶信息(檔案)進行任意操作，例如讀取、修改、刪除等。瑞星公司在其官網、客戶端軟體以及媒體上廣泛傳播上述文章，不斷擴大對原告的損害。奇虎360公司認為，這些誹謗性質的不實言論，給360安全產品的良好商譽造成極大的損害，是對360商業形象的嚴重詆毀，屬於不正當競爭行為。