用Windows操作系统的同学们，你还有隐私么？

我一直是Windows操作系统的忠实用户，虽然我管理过无数台Linux服务器，虽然我偶尔也折腾一下Mac，但日常工作学习还是使用Windows系统。

最近发现我的电脑有点问题，启动VSCode（Visual Studio Code）时总是卡顿十几秒才能正常使用，前几天比较忙，没空理它，今天实在不能忍了，仔细研究了一下，发现了一个惊天大秘密。

我先是用Procmon进程跟踪工具看了一下，发现Code.exe进程会访问一个莫名奇妙的IP地址的80端口：61.147.120.250:80，这个地址现在已经连不上了，所以Code.exe会卡顿到超时。网上查了半天这个IP地址，一无所获，后来我索性把我自己的网卡设置为这个IP地址，然后启动了一个nc，看看这个请求到底要干啥，然后发现这样的请求信息：

$ nc -l 80

GET /servertq/libenvcfgwk.dat HTTP/1.1

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; rv:11.0) like G

Accept: */*

Connection: Close

这域名虽然无法访问，但一看就是一个山寨网站，Visual Studio Code再无聊也不会主动去访问这个东西。肯定是被劫持了。

然后我用Autoruns分析了一下，果然Winsock被插入了一个DLL文件：XLNet.dll，这个dll还是有数字签名的，好像是 联通沃宽 的一个文件。

赶紧把强插的条目删掉，把DLL改名，然后一切都正常了。

通过这个事情，我有几个心得：

一，国内的流氓软件真是无底线的，相比之下Facebook的问题算个啥。

二，Windows这种机制，是专门为流氓软件定制的后门么？！

三，期待Linux桌面系统更加强大，争取早日迁移过去。

大家有空的时候，也跑一下这两个软件吧，保准儿能看到一些让你惊讶的东西。

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon

https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns