搜狗输入法再分析：只针对小白用户进行流氓推广安装

笑呵兔

呵呵，有人把我的帖子转到卡饭上；然后，有人根据我的帖子进行了第二次分析。这哥们的分析对我的帖子进行了一点补充。虽然写的不如我也的好，但是还是值得鼓励。呵呵~~

0x00
前几天在论坛上看到《搜狗输入法彻底沦为流氓软件了，竟然模拟用户点击安装浏览器！》（http://bbs.kafan.cn/thread-1782639-1-1.html）的帖子。堂堂的大搜狗，竟然用这么恶劣的手段，可耻啊可耻啊。

帖子最后说，搜狗通过云控只针对北上广外的用户进行流氓推广。实际分析发现搜狗不但有地域限制，还会对目标电脑进行筛选，只要符合筛选就会触发流氓安装行为。

以下是我的分析。

0x01，首先检测电脑上有没有安装360的软件。这么做很明显是想绕过360监控。



0x02，其次电脑上有没有安装Safari或chrome浏览。可能是因为使用Safari或chrome多是办公白领、专业IT人员，不容易骗。

另外，还会通过COM信息检查有没有访问过微博、登陆过搜狗论坛、上过360论坛。也确实，懂得用这些的用户懂得维权，发现流氓捆绑一定会去微博或论坛上反馈。并且，要是再给自己的老用户捆绑一次岂不是遭唾弃？！





0x03，最后一个条件更智能——搜狗还会对电脑的使用时间、计算机程序空闲状态进行计算，当发现电脑cpu比较空闲的时候再进行偷偷安装。那点小聪明，搜狗全用到这里了。

有兴趣的同学可以再仔细分析下提供的下载地址文件，很有意思。
另外，之前的下载地址http://download.ie.sogou.com/se/semini/SEMini_3.0.0.571_7805.exe已经失效了，原因嘛......大家都知道怎么回事。但是，在原先的地址数字的末尾+1， 换成这个：http://download.ie.sogou.com/se/semini/SEMini_3.0.0.571_7806.exe 就可以继续下载了。应该是推广的版本每天都变，服务器上有很多，大家可以按要求直接匹配下载 。

PS，上面的地址指不定什么时候就被和谐掉，大家下载后，还是尽快保存上传到云端保存。

小莫痕

从来不装搜狗，从没喜欢过，还有金山系

感觉他们满脑子都被钱塞满了，360的名声虽然不好，但是软件功能还是听实用的

oukk

原来搜狗现在变成这样子呀，不过用智慧版的貌似没出过什么问题

lkchu

good method, thanks

jifa

现在免费的软件都一个鬼样。

kevinwenyu

还好现在不用这个玩意儿了，哈哈

mcb8389666

用什么软件分析啊 求说个名字

kot3000

免费软件要开发给别人用，又得自己负担时间与金钱。就开始捆绑游戏软件赚钱。我不知这些软件是如何盈利的。有些不知名的网站的软件经常付费让人推广，让网络不健康了

对酒当歌

国产软件就TM贱，装一个，他家的婆婆大娘，七大姑八大姨都要来，真是可冷可笑。

MrAllright

赞一个！
前些天就是看到任务管理器里面一堆进程，把它卸载了，
      现在不知道装什么输入法，先用小狼毫顶一下。

DreameRing

免费软件只是使用免费，但是对于厂商而言所有手段只是为了盈利

qcmeng

狗东西,上不了台面的手段

cta123

国产软件真实会武术的流氓。

ltyj2014

楼主的确实有慧眼！建议高手弄一个搜狐浏览器免疫程序，一键不许它自动安装。