Win10收集用户信息？抓包分析及应对策略来啦！

老男孩

Win10作为微软推出的最新Windows系统，相对于Win7/8/8.1等版本加入了许多新功能，比如Cortana小娜、Windows Hello等，整体功能有所加强。然而，这些新功能的体验需要用户个人数据的支撑，收集的数据越全面，用户体验就越好。
事物都有两面性，在拥有好的体验的同时，数据的收集与泄露风险也将随之而来。微软官方曾发出隐私声明，声明中明确说明了会收集用户信息，可能包括姓名和联系人数据、凭据（如密码）、统计数据（如年龄、性别、所在国家地区）、付款信息、设备和使用情况信息、兴趣爱好、与联系人的关系（如Outlook.com管理联系人）、位置数据、通信内容（如Skpye传输的文件通信内容）。
本期，ISEC实验室的老师为我们带来Win10收集用户信息的抓包分析,以及不同应对措施下的分析比对和总结。

Win10收集用户信息抓包分析
Wireshark抓包分析
环境：上网机安装VMware workstations 12，然后创建Win10虚拟机(Win10企业版)，Win10虚拟机上安装wireshark，设置Nat模式共享主机网络，选择好抓取网络（Ethernet0），启动wireshark进行长时间（1~2天）分多包抓取。命令行模式抓包，如下图：

我们先选取没有中断的包分析（如时间段2017.10.18_16:23 ~ 2017.10.19_09：25）,在wireshark统计一栏查看IP地址使用频率：

然后连接的目的地址使用频率：

查询IP得知，连接地址主要是Microsoft公司和Akamai Tecknologies公司，后者是云服务提供商。通过wireshark过滤（ip过滤和dns过滤），条件为本地源地址和上述目的地址，如：ip.src==192.168.137.94 and ip.dst==23.45.232.42，如下图：

此连接（目的IP：23.45.232.42，微软布于Akamai网络的服务器IP，域名为：img-prod-cms-rt-microsoft-com.akamaized.net）有TCP传输，并且经过TLS1.2协议加密处理，这段时间系统间断性地向微软上传数据，并下载图片文件（如Microsoft Store或Inbox MSN Apps启动时）。
进一步分析18号9：00到14:05，即白天更新前的抓包数据，9:00抓包前特意注册了Microsoft账号，并用此账号登录计算机，然后激活了Cortana(小娜语音助手)应用。由于凌晨的更新重启，抓包中断，使得再次运行时虚拟机的本地IP有变动（本地IP：192.168.137.2）。
解析到微软服务器的IP为：157.55.109.226（域名为：storage.live.com），我们有针对性地过滤此IP，得到与本地IP的互动也是TLS1.2加密过的。

传输中有如下记录：

注册Microsoft账号与及激活小娜助手后，这边多出了与Windows.live web服务平台相关的内容，如msn、邮箱、电话、Skype登入Windows live。注册Microsoft账号并登入后，个人的账户信息以及其它连带的信息微软都能够收集到。
18号凌晨1点更新时做了什么？
能够解析到的IP只有两个：106.122.253.191及111.221.29.254，更新前服务器（如106.122.253.191）那边会收集用户信息（如系统信息）：

然后本机向au.b1.download.windowsupdate.com发出GET请求（如下图）以便获取操作系统补丁和更新包：

111.221.29.254对应域名：v10.vortex-win.data.microsoft.com，用于Connected User Experiences（互联用户体验）/Telemetry component（遥测组件）和连接到Microsoft Data Management service（微软数据管理服务），帮助微软找到和修复问题，提升产品和服务。
Fiddler抓包分析
Fiddler抓包的优点是可以抓取TLS包里的传输内容，并直观地查看。
此次Fiddler抓包时间段为：2017.10.18 18:20-2017.10.19 10:00。在此过程除了wireshark命令行同时抓包，不开启其它运用，不做任何其它操作，Windows的网络行为同样丰富，如本机向应用商城的自动请求、天气获取、更新桌面图片应用（如下图）、livetileedge活动贴片浏览应用相关网站GET请求、甚至Facebook访问。
桌面图片更新请求：

不做其他操作，同样能捕捉到系统的传输行为，重点的POST报文（上传动作）涉及的域名如：arc.msn.com、cn.bing.com、musicdelivery-ssl.xboxlive.com、m.hotmail.com、v10.vortex-win.data.microsoft.com。
向arc.msn.com上传数据：

POST内容解密后为：



这边涉及到很多内容和参数（如各种ID、国家、HTTPS=1、时间等），仅看后面着色部分可知，它至少上传了计算机参数，如X64代表系统是64位的、ENTERPRISE代表系统为企业版、然后是VMWARE VIRTUAL PLATFORM代表运行在VMware虚拟机平台上。
向musicdelivery-ssl.xboxlive.com上传音频：


有音频的ID，名称，类型，版本：

上传数据到m.hotmail.com：

所谓的内容类型为应用同步，具体内容是加密的，但cookie中出现了默认的授权邮箱是24xxxxxx9@qq.com，这是用来注册Microsoft账户的邮箱，注册发生在fiddler抓包前两小时，上传内容包括Windows版本号，看服务器应答时间是2017.10.18 23:39:03，然后回复内容包含Outlook的相关内容，且又出现了qq邮箱，只要和Microsoft服务挂钩上的信息，微软就能用上了。
可见，Win10系统与微软的数据交互频繁，涉及用户的账户信息、设备系统信息等等，虽不能一一举证，正如其官方的隐私声明：只要涉及微软产品的各项服务的提升，就会收集用户的“必要”信息。可以初步证实Win10系统下，本测试开始提出的微软可能收集的具体用户信息都有可能被上传。
API Monitor 监测辅助分析
利用API Monitor跟踪网络连接时API调用，过滤条件及监测进程如下图：

这边微软用到了WinHttp这一系列API进行连接，经分析捕捉到的主要进程、域名信息如下图：

服务进程将主机名—DESKTOP-74UHBQJ作为DNS名进行询问
发送请求：
查看其中的xml内容发现开始内容为：
后边又出现了“apimonitor-x64、Process Monitor、Procmon.exe”字眼，Process Monitor应用是为监测进程手动开启，这边显然是受到Windows Defender的监测。
下面设备数据元检索发送的xml包含了语言国家地理等信息：
附：本次Wireshark/Fiddler抓包ip、域名、目的情况表

应对策略
利用ShutUp10关闭win10自动上传功能
利用ShutUp10(安全软件公司O&O专门针对win10开发的反监测工具)关闭相应功能或服务，如隐私（个人/APP相关）、安全、网页浏览相关（特别是Edge浏览）、windows设置同步、Cortana语音个人助手、地理位置服务、用户个人习惯、Windows更新、Windows资源管理器设置、Windows防御和微软局域网抓包、锁屏相关等，部分停用选项如下图：

关闭前后对比如下：


关闭相关功能后，抓包的量比之前少了很多，回连上传的IP地址或域名也相应减少。
在ShutUp10关闭自动上传功能的基础上，利用DWS_lite强力反监测
在DWS_lite（全称Destroy Windows Spying，GitHub上的开源程序，功能是破坏Windows 7/8/8.1/10 上的监测功能）程序操作的大多数部分是不可逆的，甚至系统还原也不能回退更改。比ShutUp10更为强力与彻底，选择摧毁之前要先设置摧毁选项，其主界面和小工具如下：


设置后回到主界面点击Destroy Windows10 Spying框进行监测的删除，如下图：


成功后需要重启，以便禁用监测软件：

应用后的Fiddler及wireshark抓包情况如下：

Put方法上传到cs.dds.microsoft.com的更新数据有：设备信息（如可否更新、系统平台及其系列号（此处为VM）、系统类型、版本及版本号、所处地），用户信息（如此处列出了默认的浏览器为微软的Edge浏览器）。具体见下图：

Wireshark抓包：

虽然在DWS_lite设置中勾选了删除相应应用的选项框，但是Film_TV、groove music、OneNote、Phone comanion(手机助手)、相册、Skype、solitaire collection(纸牌游戏)、地图、天气、Xbox、资讯等应用并没有删除，所有的应用都能正常使用，在一切没有改变的表象之下，抓包量与上传量明显比之前仅用ShutUp工具时要少。
利用DWS_lite完全删除Win10 metro应用
这次是在ShutUp10以及DWS_litew完全应用(即勾上了Win10 metro应用删除选项框)的终极情况，其中删除应用后的界面如下：

与没删之前（下图）的对比明显，但还是残留有Cortana(小娜语音助手)、微软商城、OneDrive等。

抓包结果：

根据需求，使用不同版本的Win10
Windows 10家庭版拥有Windows全部核心功能。系统将会自动安装任何安全补丁，不再向用户询问。
Windows 10专业版对比家庭版主要增加了一些安全类及办公类功能。
Windows 10企业版功能最全，是针对企业用户提供的版本，相比于家庭版本，企业版提供了专为企业用户设计的强大功能。新增了Long Term Servicing Branches的服务，可让企业拒绝功能性升级而只获得安全相关的升级。
Windows 10教育版最强大，专为大型学术机构设计的版本，具备企业版中的安全、管理及连接功能。除了更新选项方面的差异之外，与Windows企业版功能没有区别。
本测试仅对Win10企业版做了长时间的跟踪抓包与分析，按照官方声明，所受的服务越多，相应的用户体验更佳，收集的信息应该是会更多的，所以可以推测教育版与企业版收集的信息会更多。我们可以选择诸如Win10中国定制版、企业长期服务支持版等相对比较纯净或精简的版本。
Win10企业版64位2016长期服务版相对来说比之前的其他版本要纯净得多（如下面开机界面），没有了Cortana(小娜语音助手)、微软商城和各种Win10 metro应用，仅仅残留有OneDrive，为此我们可以利用ShutUp10和DWS_lite关闭或屏蔽OneDrive功能以及自动更新，使用第三方软件管理更新，上传的数据量也大大减少，好几天的抓包量是之前Win10企业版64位(10.0,版本15063)系统一天的抓包量，但仍然是会有不可免的信息上传。相比较而言使用此版本是较为放心与安全的。

注：Win10 LTSB（长期服务）版开机后界面
总结
Win10系统与微软的数据交互频繁，本测试能捕捉的上传证据涉及方位（国家城市，由天气应用上传可知）、用户的账户信息、设备系统信息、音频、安全证书授权相关信息、同步的用户所有的信息、网页浏览相关、用户设置、应用商城相关信息等等，虽不能一一举证，正如其官方模糊的隐私声明：只要涉及微软产品的各项服务的提升，就会收集用户“必要”信息。
在利用了ShutUp10和DWS_lite关闭或删除部分功能后，仍然残留有Cortana(小娜语音助手)、微软商城、OneDrive等，但Win10上传的动作显然大大减少，能够有效的阻止大部分Win10系统下微软对我们的监测，特别是最后测试删除了Win10 metro应用后效果最为明显，删除了metro应用就不能使用其相应的服务功能了（此步不可还原，根据需求操作），但是不影响我们正常的日常办公、开发工作。
需要注意的是Windows更新关闭后，Windows 漏洞或服务更新需要我们用第三方软件进行管理更新，此时也能得到及时全面的维护。所以，想要减少数据被上传就应减少Win10中不必要的应用与服务，可选择类似ShutUp10及DWS_lite反监测工具进行减少Win10与微软的数据交互，能大大减少数据的上传，但还不是很彻底，如残留的Cortana(小娜语音助手)、微软商城、OneDrive等。
针对不同目的，我们可以选择不同的版本，为减少监测可以选诸如Win10中国定制版、企业长期服务支持版等相对比较纯净或精简的版本，也可利用ShutUp10和DWS_lite关闭或删除部分功能以减少监测。
总之，对应的策略可最终归纳为以下两点：
● 利用系统功能关闭工具反监测，例如：ShutUp10和DWS_lite
● 使用Windows 10 纯净或精简版，如：Win10企业 LTSB（企业长期服务）版、Win10中国定制版。