开始折腾这玩意儿
今儿早刷社区看见一堆人吵吵FoxitReader到底安不安全,吵得我脑仁疼。寻思干脆自己整一个试试,看看这PDF工具到底靠不靠谱。我直接搜了官网,下最新版。安装时候盯得可仔细了,就怕它悄摸给我塞点啥全家桶,幸好勾掉了一堆垃圾选项才装上。
打开软件第一眼感觉还行,界面挺清爽。但我心里老犯嘀咕,这玩意名声在外但争议也不少。顺手先翻了翻设置,里头有个“安全保护”页面写得挺唬人,什么沙盒防护、安全模式一堆开关。我心说光吹没用,得见真章。
动手开测
琢磨半天搞了个野路子测试方案:
- 先弄了个带嵌入脚本的PDF,以前老有病毒爱藏这里面。
- 又从某论坛扒拉了几个被标为“高风险”的文档,反正用虚拟机跑,豁出去了。
- 故意关了自动更新,想看看旧版本是不是真像网上说的那样漏成筛子。
测脚本那个PDF时候给我看乐了。Foxit弹了个大红框警告“文件有风险”,结果点“继续打开”它还真就乖乖打开了!这防护就跟小区门禁似的,坏人按个“访客登记”就能大摇大摆进来。
接着试那几个高危文件更绝。有个文档刚打开就疯狂读我系统盘路径,吓得我赶紧掐断网线。这软件所谓的沙盒屁用没有,后台进程跟脱缰野马似的乱窜。我后台监控看得清清楚楚,好几个dll文件被修改了,整得我后背发凉。
翻车现场实录
压轴戏上场:故意装了个旧版。好家伙,刚启动就弹广告,关都关不掉。开着火绒扫了下安装目录,直接跳出三个漏洞警告。感情这软件自己就是个大漏勺,官方自己写的组件都能被利用。
折腾到下午我算明白了,什么“增强防护模式”纯粹是心理安慰。那些安全设置开关设计得乱七八糟,普通用户根本看不懂。我拿着管理员权限在虚拟机里瞎点一气,结果沙盒功能直接罢工——连自己该拦啥都不知道。
整破防了
本来想测到这里收工,结果手贱点开更新日志。嚯!好家伙!光今年就修复了二十多个高危漏洞,比我家漏水的水龙头修得还勤。合着用户天天在帮他们免费当测试员?
收拾完战场越想越憋屈。转头把我那古董笔记本翻出来,上面还装着十年前的老版本。随手打开个正常PDF文档,风扇直接起飞,CPU飙到70%——这玩意儿现在连本职工作都干不利索。你说这算啥事儿?搞安全防护把自己搞成了拖拉机,修修补补修出个四不像。
测完就一个感想:用这软件跟裸奔差不多。你要真想看PDF,浏览器自带的都比它省心。非要用?行!记得虚拟机里跑,看完立刻快照还原,别给它作妖的机会。
(对了,测试截图我传了后台,想看的铁子自己翻记录去)
