Win10收集用戶信息？抓包分析及應對策略來啦！

Win10作為微軟推出的最新Windows係統，相對於Win7/8/8.1等版本加入了許多新功能，比如Cortana小娜、Windows Hello等，整體功能有所加強。然而，這些新功能的體驗需要用戶個人數據的支撐，收集的數據越全麵，用戶體驗就越好。

事物都有兩麵性，在擁有好的體驗的同時，數據的收集與泄露風險也將隨之而來。微軟官方曾發出隱私聲明，聲明中明確說明了會收集用戶信息，可能包括姓名和聯係人數據、憑據（如密碼）、統計數據（如年齡、性別、所在國家地區）、付款信息、設備和使用情況信息、興趣愛好、與聯係人的關係（如Outlook.com管理聯係人）、位置數據、通信內容（如Skpye傳輸的文件通信內容）。

本期，ISEC實驗室的老師為我們帶來Win10收集用戶信息的抓包分析,以及不同應對措施下的分析比對和總結。

Win10收集用戶信息抓包分析

Wireshark抓包分析

環境：上網機安裝VMware workstations 12，然後創建Win10虛擬機(Win10企業版)，Win10虛擬機上安裝wireshark，設置Nat模式共享主機網絡，選擇好抓取網絡（Ethernet0），啟動wireshark進行長時間（1~2天）分多包抓取。命令行模式抓包，如下圖：

我們先選取沒有中斷的包分析（如時間段2017.10.18_16:23 ~ 2017.10.19_09：25）,在wireshark統計一欄查看IP地址使用頻率：

然後連接的目的地址使用頻率：

查詢IP得知，連接地址主要是Microsoft公司和Akamai Tecknologies公司，後者是雲服務提供商。通過wireshark過濾（ip過濾和dns過濾），條件為本地源地址和上述目的地址，如：ip.src==192.168.137.94 and ip.dst==23.45.232.42，如下圖：

此連接（目的IP：23.45.232.42，微軟布於Akamai網絡的服務器IP，域名為：img-prod-cms-rt-microsoft-com.akamaized.net）有TCP傳輸，並且經過TLS1.2協議加密處理，這段時間係統間斷性地向微軟上傳數據，並下載圖片文件（如Microsoft Store或Inbox MSN Apps啟動時）。

進一步分析18號9：00到14:05，即白天更新前的抓包數據，9:00抓包前特意注冊了Microsoft賬號，並用此賬號登錄計算機，然後激活了Cortana(小娜語音助手)應用。由於淩晨的更新重啟，抓包中斷，使得再次運行時虛擬機的本地IP有變動（本地IP：192.168.137.2）。

解析到微軟服務器的IP為：157.55.109.226（域名為：storage.live.com），我們有針對性地過濾此IP，得到與本地IP的互動也是TLS1.2加密過的。

傳輸中有如下記錄：

注冊Microsoft賬號與及激活小娜助手後，這邊多出了與Windows.live web服務平台相關的內容，如msn、郵箱、電話、Skype登入Windows live。注冊Microsoft賬號並登入後，個人的賬戶信息以及其它連帶的信息微軟都能夠收集到。

18號淩晨1點更新時做了什麼？

能夠解析到的IP隻有兩個：106.122.253.191及111.221.29.254，更新前服務器（如106.122.253.191）那邊會收集用戶信息（如係統信息）：

然後本機向au.b1.download.windowsupdate.com發出GET請求（如下圖）以便獲取操作係統補丁和更新包：

111.221.29.254對應域名：v10.vortex-win.data.microsoft.com，用於Connected User Experiences（互聯用戶體驗）/Telemetry component（遙測組件）和連接到Microsoft Data Management service（微軟數據管理服務），幫助微軟找到和修複問題，提升產品和服務。

Fiddler抓包分析

Fiddler抓包的優點是可以抓取TLS包裏的傳輸內容，並直觀地查看。

此次Fiddler抓包時間段為：2017.10.18 18:20-2017.10.19 10:00。在此過程除了wireshark命令行同時抓包，不開啟其它運用，不做任何其它操作，Windows的網絡行為同樣豐富，如本機向應用商城的自動請求、天氣獲取、更新桌麵圖片應用（如下圖）、livetileedge活動貼片瀏覽應用相關網站GET請求、甚至Facebook訪問。

桌麵圖片更新請求：

不做其他操作，同樣能捕捉到係統的傳輸行為，重點的POST報文（上傳動作）涉及的域名如：arc.msn.com、cn.bing.com、musicdelivery-ssl.xboxlive.com、m.hotmail.com、v10.vortex-win.data.microsoft.com。

向arc.msn.com上傳數據：

POST內容解密後為：

這邊涉及到很多內容和參數（如各種ID、國家、HTTPS=1、時間等），僅看後麵著色部分可知，它至少上傳了計算機參數，如X64代表係統是64位的、ENTERPRISE代表係統為企業版、然後是VMWARE VIRTUAL PLATFORM代表運行在VMware虛擬機平台上。

向musicdelivery-ssl.xboxlive.com上傳音頻：

有音頻的ID，名稱，類型，版本：

上傳數據到m.hotmail.com：

所謂的內容類型為應用同步，具體內容是加密的，但cookie中出現了默認的授權郵箱是24xxxxxx9@qq.com，這是用來注冊Microsoft賬戶的郵箱，注冊發生在fiddler抓包前兩小時，上傳內容包括Windows版本號，看服務器應答時間是2017.10.18 23:39:03，然後回複內容包含Outlook的相關內容，且又出現了qq郵箱，隻要和Microsoft服務掛鉤上的信息，微軟就能用上了。

可見，Win10係統與微軟的數據交互頻繁，涉及用戶的賬戶信息、設備係統信息等等，雖不能一一舉證，正如其官方的隱私聲明：隻要涉及微軟產品的各項服務的提升，就會收集用戶的“必要”信息。可以初步證實Win10係統下，本測試開始提出的微軟可能收集的具體用戶信息都有可能被上傳。

API Monitor 監測輔助分析

利用API Monitor跟蹤網絡連接時API調用，過濾條件及監測進程如下圖：

這邊微軟用到了WinHttp這一係列API進行連接，經分析捕捉到的主要進程、域名信息如下圖：

服務進程將主機名—DESKTOP-74UHBQJ作為DNS名進行詢問

發送請求：

查看其中的xml內容發現開始內容為：

後邊又出現了“apimonitor-x64、Process Monitor、Procmon.exe”字眼，Process Monitor應用是為監測進程手動開啟，這邊顯然是受到Windows Defender的監測。

下麵設備數據元檢索發送的xml包含了語言國家地理等信息：

附：本次Wireshark/Fiddler抓包ip、域名、目的情況表

應對策略

利用ShutUp10關閉win10自動上傳功能

利用ShutUp10(安全軟件公司O&O專門針對win10開發的反監測工具)關閉相應功能或服務，如隱私（個人/APP相關）、安全、網頁瀏覽相關（特別是Edge瀏覽）、windows設置同步、Cortana語音個人助手、地理位置服務、用戶個人習慣、Windows更新、Windows資源管理器設置、Windows防禦和微軟局域網抓包、鎖屏相關等，部分停用選項如下圖：

關閉前後對比如下：

關閉相關功能後，抓包的量比之前少了很多，回連上傳的IP地址或域名也相應減少。

在ShutUp10關閉自動上傳功能的基礎上，利用DWS_lite強力反監測

在DWS_lite（全稱Destroy Windows Spying，GitHub上的開源程序，功能是破壞Windows 7/8/8.1/10 上的監測功能）程序操作的大多數部分是不可逆的，甚至係統還原也不能回退更改。比ShutUp10更為強力與徹底，選擇摧毀之前要先設置摧毀選項，其主界麵和小工具如下：

設置後回到主界麵點擊Destroy Windows10 Spying框進行監測的刪除，如下圖：

成功後需要重啟，以便禁用監測軟件：

應用後的Fiddler及wireshark抓包情況如下：

Put方法上傳到cs.dds.microsoft.com的更新數據有：設備信息（如可否更新、係統平台及其係列號（此處為VM）、係統類型、版本及版本號、所處地），用戶信息（如此處列出了默認的瀏覽器為微軟的Edge瀏覽器）。具體見下圖：

Wireshark抓包：

雖然在DWS_lite設置中勾選了刪除相應應用的選項框，但是Film_TV、groove music、OneNote、Phone comanion(手機助手)、相冊、Skype、solitaire collection(紙牌遊戲)、地圖、天氣、Xbox、資訊等應用並沒有刪除，所有的應用都能正常使用，在一切沒有改變的表象之下，抓包量與上傳量明顯比之前僅用ShutUp工具時要少。

利用DWS_lite完全刪除Win10 metro應用

這次是在ShutUp10以及DWS_litew完全應用(即勾上了Win10 metro應用刪除選項框)的終極情況，其中刪除應用後的界麵如下：

與沒刪之前（下圖）的對比明顯，但還是殘留有Cortana(小娜語音助手)、微軟商城、OneDrive等。

抓包結果：

根據需求，使用不同版本的Win10

Windows 10家庭版擁有Windows全部核心功能。係統將會自動安裝任何安全補丁，不再向用戶詢問。

Windows 10專業版對比家庭版主要增加了一些安全類及辦公類功能。

Windows 10企業版功能最全，是針對企業用戶提供的版本，相比於家庭版本，企業版提供了專為企業用戶設計的強大功能。新增了Long Term Servicing Branches的服務，可讓企業拒絕功能性升級而隻獲得安全相關的升級。

Windows 10教育版最強大，專為大型學術機構設計的版本，具備企業版中的安全、管理及連接功能。除了更新選項方麵的差異之外，與Windows企業版功能沒有區別。

本測試僅對Win10企業版做了長時間的跟蹤抓包與分析，按照官方聲明，所受的服務越多，相應的用戶體驗更佳，收集的信息應該是會更多的，所以可以推測教育版與企業版收集的信息會更多。我們可以選擇諸如Win10中國定製版、企業長期服務支持版等相對比較純淨或精簡的版本。

Win10企業版64位2016長期服務版相對來說比之前的其他版本要純淨得多（如下麵開機界麵），沒有了Cortana(小娜語音助手)、微軟商城和各種Win10 metro應用，僅僅殘留有OneDrive，為此我們可以利用ShutUp10和DWS_lite關閉或屏蔽OneDrive功能以及自動更新，使用第三方軟件管理更新，上傳的數據量也大大減少，好幾天的抓包量是之前Win10企業版64位(10.0,版本15063)係統一天的抓包量，但仍然是會有不可免的信息上傳。相比較而言使用此版本是較為放心與安全的。

注：Win10 LTSB（長期服務）版開機後界麵

總結

Win10係統與微軟的數據交互頻繁，本測試能捕捉的上傳證據涉及方位（國家城市，由天氣應用上傳可知）、用戶的賬戶信息、設備係統信息、音頻、安全證書授權相關信息、同步的用戶所有的信息、網頁瀏覽相關、用戶設置、應用商城相關信息等等，雖不能一一舉證，正如其官方模糊的隱私聲明：隻要涉及微軟產品的各項服務的提升，就會收集用戶“必要”信息。

在利用了ShutUp10和DWS_lite關閉或刪除部分功能後，仍然殘留有Cortana(小娜語音助手)、微軟商城、OneDrive等，但Win10上傳的動作顯然大大減少，能夠有效的阻止大部分Win10係統下微軟對我們的監測，特別是最後測試刪除了Win10 metro應用後效果最為明顯，刪除了metro應用就不能使用其相應的服務功能了（此步不可還原，根據需求操作），但是不影響我們正常的日常辦公、開發工作。

需要注意的是Windows更新關閉後，Windows 漏洞或服務更新需要我們用第三方軟件進行管理更新，此時也能得到及時全麵的維護。所以，想要減少數據被上傳就應減少Win10中不必要的應用與服務，可選擇類似ShutUp10及DWS_lite反監測工具進行減少Win10與微軟的數據交互，能大大減少數據的上傳，但還不是很徹底，如殘留的Cortana(小娜語音助手)、微軟商城、OneDrive等。

針對不同目的，我們可以選擇不同的版本，為減少監測可以選諸如Win10中國定製版、企業長期服務支持版等相對比較純淨或精簡的版本，也可利用ShutUp10和DWS_lite關閉或刪除部分功能以減少監測。

總之，對應的策略可最終歸納為以下兩點：

● 利用係統功能關閉工具反監測，例如：ShutUp10和DWS_lite

● 使用Windows 10 純淨或精簡版，如：Win10企業 LTSB（企業長期服務）版、Win10中國定製版。