最近這幾天“XCodeGhost”事件鬧得人心惶惶，如果你對“XCodeGhost”事件本身的來龍去脈不夠了解，推薦閱讀騰訊安全應急響應中 心的文章《你以為這就是全部了?我們來告訴你完整的XCodeGhost事件》而本文的重點是想澄清在“XCodeGhost”事件中，有關迅雷的種種“說法”。

說法1：“還是不能相信迅雷，我是把官網上的下載URL復制到迅雷里下載的，還是中招了”

這 句話是烏云網原文《XCode編譯器里有鬼 – XCodeGhost樣本分析》（鏈接：http://drops.wooyun.org/news/8864）當中，文章作者引用微博中“誰敢亂說話” 的留言。這是整個事件中唯一聲稱“使用迅雷下載官網鏈接也會中招”的反饋。

　　　 我 們在看到這條反饋時，第一時間安排迅雷安全中心工程師對XCode6.4的官方鏈接進行下載測試，并對迅雷索引服務器上的記錄進行了交叉檢查。發現迅雷從 未將官方鏈接的XCode6.4下錯為染毒的版本。而且染毒的XCode6.4文件比官方版本大了6.97MB，因此文件特征值不存在重復的可能。

在迅雷安全中心工程師完成測試及檢查后，我們看到“誰敢亂說話”博主已經主動發布澄清《我澄清一下，復制官方的URL到迅雷里下載沒有問題，我記錯了》（鏈接：http://weibo.com/1686747232/CBf2aegc3?from=page_1005051686747232_profile&wvr=6&mod=weibotime&type=comment）。雖然他先前的留言造成對迅雷的誤解，但是我們依然感謝他能主動澄清這件事。

說法2：“成功感染了迅雷的離線服務器，也就是說，你常用下載軟件是迅雷的話，輸入官網的地址下載下來的 dmg 仍然有可能是被修改過的。”

這 個說法是在“說法1”的基礎上，經過轉載及揣測被加工成了“迅雷離線服務器被感染”，但現在“說法1”已經被澄清，而且迅雷早在“XCodeGhost” 事件被曝光時，立即全面檢查了離線服務器中所有蘋果官方鏈接的Xcode文件，SHA1值均與蘋果官方版本保持一致。因此迅雷離線服務器沒有被感染。

說法3：這次XcodeGhost木馬病毒的泛濫有可能和迅雷有關，迅雷最初下載的Xcode就是被修改的程序，因此iOS開發者即使用官方地址然后在迅雷上下載，也會下載到帶有木馬病毒的Xcode。

該 說法同樣為“說法1”的變種。根據我們查詢離線下載的任務記錄，染毒的XCode6.4版本 （SHA1：a836d8fa0fce198e061b7b38b826178b44c053a8）。最早被迅雷會員用戶添加到離線下載中時，并非來自蘋 果官方，而是來自某網盤的URL。

同時我們列出了染毒的XCode6.4版本的所有下載來源，共有52條記錄，無一來自蘋果官方網站。也就是說，染毒的XCode泛濫并非由迅雷導致，某網盤是染毒XCode的主要下載源。

與此同時迅雷已將染毒的XCode文件屏蔽下載。

說法4：迅雷下載難道只判斷文件名，不會檢測哈希值之類的嗎？

迅 雷并不通過文件名或文件大小來判斷文件是否一致。迅雷下載會在下載開始時檢測文件的哈希值（特征值），下載過程中會與原始地址及鏡像進行實時比對校驗，發 現錯誤數據就會在下載過程中立即糾錯，所以才會出現所謂的“下載進度倒退”現象。文件下載完成后會再次進行完整的文件校驗。

說法5：我遇到過某軟件官網鏈接用迅雷下載到了這軟件的上一個版本

這 種情況確實在部分用戶的環境中發生過，經過我們聯系用戶進行調查，結果發現是用戶使用的網絡運營商為了降低自身網絡出口的流量成本。會自己架設CDN服務 器來緩存比較熱門的文件。當某軟件發布新版本更新了安裝文件，而下載地址未變時，該運營商的CDN服務器沒有及時的更新文件。仍將用戶的訪問請求指向了緩 存的老文件，此時用戶使用迅雷進行下載，就會下載到上一個版本。這種情況并不常見，而且迅雷已經進行了優化。

說法6：如果我把染毒的文件放在自己架的一個服務器上，并修改本機DNS將官方下載鏈接的下載請求指向我自己架的服務器，再用迅雷下載這個帶毒的文件，迅雷就會把這個染毒的文件分享給別人了。

這 種假設是行不通的，雖然這么做能讓迅雷把染毒的文件下載到你本機。但是我們前面介紹過，迅雷在下載完成后會進行完整的文件校驗，如果你下載的文件是染毒 的，文件校驗得出的特征值就會截然不同。因此迅雷的索引服務器就不會將染毒的文件跟正常的文件關聯在一起。自然別的迅雷用戶就不會從你本機獲取這個染毒的 文件。