咱说好的讲讲对无限宝的分析成果

我主要是想讲讲b站上大家发现的那些驱动啊，后台服务啊之类的东西，就你们最关心的隐私问题吧

我是想说，这只是以我对计算机的了解分析出的结果，我只能告诉你们这些东西会做什么，当然我没发现的行为并不代表它们不会做。所以安全起见，建议大家还是尽量用虚拟机啦

应该很多人都知道了，装上无限宝会送你一张“显卡”

这个 Mirage Driver 其实是 Demo Forge 开发的一款驱动级截屏的工具。它的官网是http://www.demoforge.com/dfmirage.htm

根据官方的描述呢，它的功能是为第三方软件提供更快速的抓屏接口，并且很多远程桌面软件都使用了它。

这里的远程桌面软件指的并不是黑客控制软件，而是你自己安装的实用软件。假如你有一份文件在家里的电脑上，你现在在公司里，如果你在你家电脑上安装了一个这样的软件（比如说 Teamviewer），你就可以在公司里控制一下你家的电脑，把文件取回来。这是一种“你情我愿”的远程控制。QQ 就自带了这样的功能，可以在你需要的时候请求他人的远程协助。

我觉得无限宝自带了这个驱动也是为了更快的抓屏。在卸载无限宝后这个驱动还残留，可能是因为可能有其他软件也要使用这个驱动所以卸载程序没有主动卸载它。如果你不放心的话可以打开设备管理器自行卸载

这个是无限宝启动的后台服务。它是以 NT 服务的形式安装的，受到 Windows 服务管理器的统一管理，所以很多人说无法通过任务管理器结束掉它。因为服务进程被强行停止后，Windows 会认为它出错了并且尝试重新启动这个服务

观察日志可以发现，这个服务似乎开启了一个 HTTP 服务器

知道啥是 HTTP 嘛？其实我们在上网的时候普遍使用的就是 HTTP 协议（当然现在大部分是更安全的HTTPS 协议）你看网址大多是以 http:// 开头的。但是 HTTP 不只是给网页浏览器使用的协议哦，很多客户端，即使不显示网页，也是通过 HTTP 进行通信的

火绒安全软件显示这个服务监听了本地的 7851 端口。注意本地 IP 那块显示的是 127.0.0.1 了嘛，这意味着只有本机能于这个端口通信，别的设备，即使是同一 WiFi 下的其他电脑也并不能访问到你电脑的这个端口。

观看无限宝网页启动器的 JS 代码，发现这个端口是给浏览器检测本地无限宝有没有安装的

要知道，网页并没有直接访问本地文件的权限，所以通过一个这样的服务来检测

这样看来，WinuponService 好像并没有在后台窥屏的行为。但是并不排除哦

几个星期前有看到空间里爆出无限宝日志目录内有伪装成文本文档的截屏

根据时间来看，这些文件产生的时间和签到对话框出现的时间一致，并且每秒钟截屏一次

这些文件确实是 JPG 图片。前面那些分辨率较小，只截了签到框下方覆盖的范围。最后一张发生在签到 20 秒超时自动消失的时候，是全屏截图，貌似是在告诉老师签到超时消失的时候你在干什么

但是最后一张这样的图片产生的时间是2月12号，而2月13日时无限宝发生了一次更新。所以不知道它是从那以后不在干这样的事了还是干完销毁罪据，不再让图片落在本地

至于老师到底有多大权限，由于我昨天没有收集参数的时候忘记保存，白天主站又不开放，所以我手上目前只有助教进入体验课堂的参数。由于没有学生，无法体验到最终的效果。所以至于老师有多少权限，我打算明天再说

先放张截图吧，窥屏还能导出图片呢

我是想说，你们没必要那么担心嘛。特别是用虚拟机的就更没必要担心了，因为虚拟机是绝对隔离安全的。当然你们可以选择物理方法，比如说把摄像头贴掉之类的，这样心里好受一点嘛，就没有那种被监视的感觉了嘛