采集工具(gmail不是采集工具，是恶意代码的吗？(一))

　　采集工具(gmail不是采集工具，是恶意代码的吗？(一))

　　采集工具本身没有攻击，就是恶意代码就是恶意的；收集到的一些协议没有沙箱不能用于攻击。具体的不展开。

　　论点：请注意，gmail不是采集工具。虽然我不懂技术，但是感觉这问题太笼统了，还是想不出一个好的答案，只能通过问答形式给个提纲吧。一般来说，如果采集任务是个单纯产出数据的完整流程，其实都是采集工具作恶啊。比如把一个网站的url完整抓取下来，那你得知道该怎么格式转化啊，用xml还是json啊，这些从本质上来说就是采集工具作恶，一般的采集工具都要求通过ssl+aes来做传输层和数据报文传输加密啊。

　　所以你看我们根本不认为它是恶意代码。就以电脑浏览器来说，我一直认为他是像上图那样是在解析你的http协议的，它不窃取你的任何私密信息，只是字面意义上的入侵而已。然后在拿到你的字节流之后，就对浏览器造成攻击了。目前各大浏览器都推出了专门的从源头上对它发起攻击的工具，我随便举个例子，ie，ie它就推出ip欺骗工具和钓鱼工具两个工具，你懂得，它这两个工具是为了阻止web安全协议的传输，是必须开启。

　　所以说，它的第二类攻击点就在于浏览器协议破解。我没查过网络协议的学术论文，但是这方面的可查的文章肯定远不止此。第三个采集工具我也认为是恶意代码，因为它造成的困扰远大于你提到的其他工具，比如在网站登录信息泄露的情况下使用（第二类攻击），或者在恶意代码篡改后的源码中包含它们的代码（第三类攻击）。--再补充一下，需要说明的是采集工具不是模拟，就拿我自己采集信息的例子来说，我是通过，在采集数据的过程中还使用了cookie来调用“宝贝”的guid值来判断对方的电话号码是否和上次购买商品类似，这样可以作为判断的依据。

　　在这里提一下：我一直说的网站采集算是代理登录的类型，不是真的和电脑同步采集。例如我这里抓取的以及cnzz（具体的问题可以去博客或知乎搜）都是不记名的，也不像我说的第三类工具这样，有真实号码。