韩振江对“扣扣保镖”做了一些简单的分析,他表示“扣扣保镖”其实已经把自己的运行模块——“DLL”(Dynamic Link Library,动态链接库),加载到了QQ程序运行的进程当中,只要用户一运行腾讯QQ,该模块就会自动运行。这个模块其实是等待某种条件触发来执行的,而外挂就是在电脑运行中,一个程序通过某种事件触发而得以挂接到另外一个程序的空间里。
这个“DLL”模块的用途是通过拦截操作系统中最重要的“API”(Application Programming Interface,应用程序编程接口),来检测运行程序中的一些关键字。该模块如果发现运行的是特定的几个程序,比如腾讯升级所要启动的一些程序,“DLL”模块就会通过判断里面的字节把升级程序屏蔽掉。“DLL”模块其实是可以进行控制的,想进行阻止的时候DLL命令的参数就会设置为1,不想阻止的时候会设置为“0”。
另外,“DLL”模块有一个列表,在配制文件当中列了很多腾讯的程序、进程名称、或者ID号,“DLL”模块会将所检测的文件名进行对比,如果这些文件名符合屏蔽规则,就把它阻止掉,腾讯的升级程序也就因此受阻。