每日经济新闻》的一篇“360黑匣子之谜”在业界引起不小的反响，一个叫做“独立调查员”的微博ID也开始为人们所熟知，原来他是个程序员，是个技术大牛。但这个“独立调查员”究竟是谁？
　　一开始看到关于"独立调查员"的那段描述，我以为是我认识的几位朋友，这几位朋友都是国内安全领域的牛人，但是仅有的那点描述，还不足以让我确认。
01
　　“独立调查员”的所有举动都是针对360而来，意图很明显，就是要搞死360，于是不止一个朋友来问我，“是不是金山的那个李铁军？”
　　谁都知道金山跟360在安全领域一直相互掐，掐得一塌糊涂，只要是个正常人都知道这两家是彻底杠上了。
但360在业内树敌超多，除了金山，还有腾讯，百度等公司。
　　02
　　既然独立调查员在深圳著名的景点红树林跟记者接触，那此人是不是有可能就是深圳的？深圳有一家公司叫腾讯，我有个朋友叫苗得雨，之前在老牌杀毒引擎开发商安天实验室呆过很久，绝对是技术大拿，现就职于腾讯。
　　补充一点：很多人不知道安天实验室，安天实验室的老大网络ID叫做@江海客，中国曾经的四大黑客之一，真名肖新光，在程序员杂志上可以看到他的一些文章。
　　OK，360跟腾讯这么苦大仇深的，这个猜测似乎也可以成立。　03
　　However，深圳还有一家叫做安络科技的从事反黑技术的公司，@老毒物Frankie是该公司的CEO，这也是安全领域的前辈了，现在松禾资本做投资总监的张春晖，曾经创业的时候跟他搭档。
　　允许我在这里猜测一下，独立调查员会不会是他？
　　04
　　安全领域的水是深不见底，对360和老周有意见的肯定不只是这些有过节的知名大公司，要知道在黑客江湖，有很多技术超级牛但极其低调的人物，怀揣一个"佐罗"的理想，势要整死360也不是没有可能。
　　说实话，对安全领域真心不熟，要不是看到《每日经济新闻》的那篇文章，我也不会联想起这些。至于此人究竟是谁，各位一起来猜吧！

分割————————————————进入下一个主题——————————

【360黑匣子之谜】
360怎么了？这是一家什么样的企业？带着疑问，记者经过数月调查，并在微博名人“独立调查员”等一批程序“猿”的帮助下，揭开了360层层内幕。
昨日（2月25日），正是奇虎360所有APP产品被苹果全面下架一个月的日子。
就在此前，360的CFO亲赴美国“负荆请罪”，但360相关产品并未重新上架。
知情人士向
《每日经济新闻》记者透露，国家版权局内部已讨论确定，360搜索引擎严重违反Robots国际规则，目前正在拟定相关处罚决定，近期将在行政处罚会议上责令360停止侵权，进行整改。
据悉，有“两会”代表委员正在草拟严惩不正当恶性竞争破坏产业，以及“3·15”应该将隐私保护列入重点的议案提案。
《信息方略》的一份调研结果显示，回答“拒绝安装360”的企业比例高达60%。
一家以声称安全起家的互联网公司，正面临“不安全”的声讨……
360到底怎么了？这是一家什么样的企业？带着这样的疑问，《每日经济新闻》记者经过数月调查，并在微博名人“独立调查员”等一批程序“猿”的帮助下，揭开了360的层层内幕。
360创始人周鸿祎一直对外宣称，360成功的秘诀是
“破坏性创新”。但记者调查发现，360的成功，更重要的是在于其“创新型破坏”：破坏才是目标。通过破坏，打破既有规则，从中获得市场与利益。
而这一破坏的基础，便是对互联网世界最基本的准则——最小特权原则的践踏。
为全面还原360的真实面目，“独立调查员”们以超人的技术能力与艰辛的劳动，剥茧抽丝般一层层揭开，将其内部机制破解成功。
360发家于 “360安全卫士”、“360安全浏览器”，而这两款产品甫一面世，便携带了这家公司的癌性基因：以违反“最小特权原则”为基石而构建。
《每日经济新闻》记者第一次查清，360是如何在其庞大的以安全著称的“安全卫士”、“安全浏览器”软件中，植入非法程序，并通过该非法程序中的“后门机制”与360云端配合，形成全球独一无二的秘密内部机制。
最令人惊诧的，是即使在360内部也属高度机密的
“V3升级机制”。当360要发动一场讨伐竞品的战争时，其便启动“V3机制”——通过“安全卫士”、“安全浏览器”，在用户电脑中私自卸载竞争对手的产品，私自安装自己要推广的产品，从而以最便捷的方式一举占领市场，这就是360常胜不衰的真正秘诀。
在这场看不见的战争中，360表现出两个粗暴：粗暴侵犯网民的合法权益（隐私权、知情权、同意权）、粗暴侵犯同行的基本权益，肆无忌惮地破坏行业规则，从而实现其“一枝黄花”式的疯狂成长。
360现象，不仅对行业有巨大的破坏性，对互联网秩序产生严重的破坏力，更是对整个社会产生“癌性浸润”。
这种“癌性浸润”，让原本的市场竞争转向了底层控制力的交战。《每日经济新闻》记者获悉，百度即将砸重金投向安全领域，最快将于今年上半年正式推出，这与经历“3Q大战”的腾讯进驻安全领域如出一辙。
更为可悲的是，为了防御360的“癌性浸润”，从底层控制到应用层几大巨头均涉足其中，这样带来的直接后果就是，未来中国互联网将变成一个腾讯、百度、阿里、360“四国顶立”的擎天柱式体系。而这将让一个个丰满、丰富的热带雨林式生态环境变成巨无霸们为生存而生灵涂炭的地方。
360会“立地成佛”么？这或许会是一场持久战……
《每日经济新闻》将持续关注。
（出于保护记者人身安全的考虑，本组稿件记者署名均为化名）

技术篇
360：互联网的癌细胞
每经记者 秦俑
深圳，红树林，旁边就是深圳湾公园，有蜿蜒的海堤风景带；海的那端是云雾间的山峦以及错落的建筑，那是香港特别行政区。
经过前期网上100多天艰苦的技术交流后，《每日经济新闻》记者终于约到了“独立调查员”。这是我们之间的第二次见面。这一次，我们相约只做一件事情：将360（奇虎360科技有限公司，本文简称为360）在幕后所做的一些难以见光的行为，在网上重新演绎一遍。
这一过程漫长而复杂。几天几夜里，独立调查员展开的网络实证让人触目惊心，许多动态的过程无法通过平面文字呈现。事实上，独立调查员曾经在网上披露的内容，绝大多数网民也不可能看懂。
2012年10月，一个署名“独立调查员”的微博开始向360发难，时至今日，《每日经济新闻》记者已跟踪此人整整3个月：初始时基本上通过网络实现沟通，渐渐地，有了电话中的直接交流。
在思维碰撞中，记者发现，“独立调查员”对360的反感是深切的；他对360的研究也是深刻的。令《每日经济新闻》记者万分好奇而且不解的是：他的动力来自何方？
“如果你得了癌症，你的第一反应是什么？”独立调查员反问道，“那一定得赶快把它切除掉！而360正是网络社会的毒瘤。此瘤不除，不仅中国互联网社会永无安宁之日，整个中国都永无安宁之日。”
独立调查员分析说，不要小看了苹果对360产品下架一事，这种下架的期限极有可能是“永久性”。为什么一个在中国能够获得如此巨大影响力的公司，会在一家全球性大公司处遭遇截然相反的待遇？“这只能说明眼下的互联网空间没有能力排除自身的毒瘤。而苹果下架360，背后正体现出对肿瘤的自体免疫排斥性，这是一个网络社会健康的标志。”
独立调查员认为，他作为一名程序员，就是要从技术层面来理清360这个“DNA”的基因突变。“这个突变的基因，就是360安全卫士或360安全浏览器，一切都会发生改变。”
互联网其实与人体一样，本身具备着抗癌的免疫力。一旦发现癌细胞，自身会启动自动识别与排斥机制，比如“最小特权原则”就是互联网江湖防止自身“癌变”的免疫机制。
所 谓 最 小 特 权 （LeastPrivilege），指的是“在完成某种操作时所赋予网络中每个主体
（用户或进程）必不可少的特权”；最小特权原则，则是指“应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。
这一特权最通俗的说法就是：你不要代替用户行使权力，你的特权越小越少越好。这样，才是对用户最大的保护。能不作为处，不作为。
“而奇虎360的‘基因变异’正体现在此处，表现为
‘奇虎360原则’——以安全的名义，在用户知情或不知情的情况下，直接代表网民行使权益。”独立调查员说，“其实，最小特权原则非常简单。比如一个电话检查员，为了检查你家的电话是否正常好使，便在主人不在家时，直接打开你家的门，试用了一下电话；或者说，因为你家的狗在叫，物业打开你家的门，直接将狗杀了。这都是违反了最小特权原则。而360最大的问题就是以安全的名义，践踏了这一原则。”
360是如何通过环环相扣的程序设计，就像本文开头部分的K保安公司监控业主夫妇房事一样，或就像电话检查员径直打开主人房门查线一样，或就像物业工作人员直接打开业主房门进去把主人的狗杀掉一样，在用户的电脑里横冲直闯、恣意妄为？本文将为读者揭开360相关产品背后的层层暗箱操作链条。

此时，这个DLL好生了得，它甚至已不受浏览器的控制，它在用户windows系统中可做的事情包括但不限于：
获取用户的文件，并上传到云端；
读写、增删用户的文件；
监听用户通讯；
更改windows系统的注册表或重要的设置参数；
悄悄卸载竞争对手的产品，等等。
同时，这个DLL还可以通过这个后门，直接对互联网发出指令，包括但不限于：
自动从360服务器下载软件来安装或运行；
代替用户直接进行电子商务操作；
释放木马或病毒、创建常驻系统的服务，等等。
360是否做了这些呢？如果做了，对其自身又会有怎样的价值呢？会对行业、用户带来怎样的伤害呢？没有人知道答案。
“搞清楚这些细节后，我就着手重现后门机制的运作，让本来不可见的过程变得可见，以做可视化演示，让大家不仅能感知而且能
‘看到’360暗设的这道‘后门’。”独立调查员表示。
在他看来，360那个后门每5分钟都会找360服务器下载一个DLL并加载执行，但它是个后门，隐蔽性第一，因此DLL无论如何不会现身，不存在弹出对话窗口或消息框，因此需要给它模拟一个测试环境。
“通过在本地架设DNS服务，劫持360.cn的域名解析，把我的机器伪装成360的服务器，然后那个注入浏览器的DLL不就由我自由控制了么？”独立调查员表示，通过编一个只要被加载执行就马上弹出消息框的DLL，拿自己写的DLL注入给360浏览器，这就让360浏览器的后门机制的运行完全可见了。
就这样，浏览器果然如预期的那样，把独立调查员在DLL里面写的消息框给弹出来了。
“被活捉啊！”从去年10月29日的公开信到11月5日的反向工程分析研究，前后仅为六天（仅利用业余时间）。
一个细微的细节是，独立调查员为了让更多的用户知道360暗藏后门的事实，还将其调查结果通过65分钟不间断的视频进行全网络直播。由于要保证视频内容真正做到65分钟不间断、不剪接，而实际上他花费了4个多小时一次次现实演示，直至实现一次性完成，才算真正完成这一取证工作。
独立调查员指出，可执行文件DLL绝非软件的自动更新（软件更新是持久性的），360安全浏览器自动更新仅在启动时执行一次，与此行为无关；而它也不是浏览器的一部分，下载、暂存、加载调用后将立即被删除，完成使命后，不留任何痕迹。
360后门：绑架用户的遥控器/
独立调查员的这一发现发布后，立即在业内引起巨大震动。
以电子取证为主业的独立第三方IDF互联网情报威慑防御实验室立即跟进，对独立调查员的举报结论进行重复性认证，结论为：360安全浏览器v5.0.8.7的ExtSmartWiz.dll文件的属性、行为及反编译内容与独立调查员描述完全一致。
万涛表示，在当时的检测中，即使在关闭360安全中心可以关闭的功能，包括网址云安全、广告云拦截、第二代防假死、沙箱保护，在未进行任何浏览器操作情况下，仍然可以抓取到ExtSmartWiz.dll请求服务器文件及下载服务器文件记录，而这些并未包含在《360用户隐私保护白皮书》有关“360安全浏览器的隐私保护说明”中。
业内一位安全专家认为，360浏览器利用后门通过秘密手段，每5分钟操作一次程序性动作，究竟做了什么？现在不易获知，相信终有一天，360内部的程序员等知情人士会将此完整地披露给大众。但可以认定，360这一行为有不可告人的目的，最为正面的理解是：如果全国要抓贪腐，可能不再需要小三、二奶们自告奋勇地献身了，只要打开360浏览器，贪腐只要是上网的，基本上其丑行就可以通过360安全浏览器、360安全卫士这个后门机制暴露无遗了。
针对独立调查员的证据，360方面至今也无正面回应。
据独立调查员的最新消息，360安全浏览器5.0版的“后门”机制仍在运作，但360服务器已不再通过“后门”下发任何DLL，仅下发空文件（文件大小为0的文件）。
对360安全浏览器最新版（6.0.2.202）的网络通信监测表明，在未打开和浏览任何网站的情况下，浏览器仍然在与360云服务器密集通信，但与5.0版的情况明显不同。这里是否藏了什么新的秘密？
独立调查员对此已作了尝试调研，他告诉 《每日经济新闻》记者，“有关结果，在合适的时候会披露出来。”
“此中有一个不易注意的细节，”独立调查员告诉记者，“当时，360安全浏览器产品经理陶伟华在回应我的微博时，就把我指出的ExtSmartWiz.dll文件名篡改成SmartWizRes.dll，而现在其6.0版本恰恰就是现在的‘SmartWizRes.dll’，可见其早已有想通过偷梁换柱的方式掩盖其恶行。”
据多位安全专家表示，“后门”并非360独创，原来，其作用为“方便之门”。最著名的“后门”软件为灰鸽子（Hack.Huigezi）。其诞生于2001年，原本是一款优秀的远程控制软件，其后门机制作用为方便实施远程控制。但正是这“后门”机制，又使其成为集多种控制方法于一体的木马病毒。一旦用户电脑不幸感染，可以说用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件等皆手到擒来。因此，自其诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注，同时成为全球公认的“毒王”。
360安全浏览器比“灰鸽子”更为危险的是，它的市场占有量很高。根据艾瑞咨询此前发布的数据显示，360最主要的产品360安全卫士的市场份额已经高达84．41%，同时360也拥有国内最大的浏览器和网址导航份额，所占市场份额大致为30%。这也意味着数亿量级360浏览器安装于用户的电脑中，如果有人破解360安全浏览器，从而控制这个后门的话，那将是灾难性事件，它导致一个国家的瘫痪都是完全可能的。因为360安全卫士、360安全浏览器早已进入了中国大多数用户的电脑。