自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

綠壩3.17版技術(shù)分析報(bào)告

作者:佚名
安全
綠壩,不,應(yīng)該說是濾霸,它只不過是一個(gè)由納稅人買單,在種種潛規(guī)則和層層壓榨油水之后所形成的一個(gè)GFW工程的副產(chǎn)品罷了,而這筆巨額開支,也只不過是整個(gè)GFW體系中的冰山一角。而已。

這價(jià)值4000萬(wàn)的神秘軟件究竟是個(gè)什么樣,讓我們看看。

軟件版本為3.17

綠壩采用打包式安裝程序,安裝程序的EXE文件被執(zhí)行之后,會(huì)在temp目錄下隨機(jī)生成臨時(shí)文件夾,釋放安裝文件。然后調(diào)用該目錄下setup.exe開始安裝。

綠壩安裝在system32目錄下,安裝共寫入包括windows、system32、inf、drivrs等系統(tǒng)關(guān)鍵目錄在內(nèi)的12個(gè)目錄110個(gè)文件,文件列表如下: 

,1,system32RunAfterSetup.exe,9,0,32 
,2,system32sys.dat,9,0,32 
,3,system32poppo.dll,1,0,32 
,4,system32sysEx.dat,1,0,32 
,5,system32appface.dll,1,0,32 
,6,system32xabout.dat,1,0,32 
,7,system32x100.dat,1,0,32 
,8,system32x200.dat,1,0,32 
,9,system32x300.dat,1,0,32 
,10,system32x400.dat,1,0,32 
,11,system32xnet2_lang.ini,9,0,32 
,12,system32bnrfil.dat,1,0,32 
,13,system32bsnlst.dat,1,0,32 
,14,system32csnews.dat,1,0,32 
,15,system32gdwfil.dat,1,0,32 
,16,system32TrustUrl.dat,1,0,32 
,17,system32wfileu.dat,1,0,32 
,18,system32xwordh.dat,1,0,32 
,19,system32xwordl.dat,1,0,32 
,20,system32xwordm.dat,1,0,32 
,21,system32auctfil.dat,1,0,32 
,22,system32chtfil.dat,1,0,32 
,23,system32cultfil.dat,1,0,32 
,24,system32entfil.dat,1,0,32 
,25,system32finfil.dat,1,0,32 
,26,system32fmfil.dat,1,0,32 
,27,system32fshrfil.dat,1,0,32 
,28,system32gblfil.dat,1,0,32 
,29,system32gnfil.dat,1,0,32 
,30,system32hatfil.dat,1,0,32 
,31,system32iawfil.dat,1,0,32 
,32,system32imgfil.dat,1,0,32 
,33,system32jbfil.dat,1,0,32 
,34,system32lgwfil.dat,1,0,32 
,35,system32movfil.dat,1,0,32 
,36,system32mp3fil.dat,1,0,32 
,37,system32nvgamfil.dat,1,0,32 
,38,system32perfil.dat,1,0,32 
,39,system32picsfil.dat,1,0,32 
,40,system32pkmon.dat,1,0,32 
,41,system32popfil.dat,1,0,32 
,42,system32psyfil.dat,1,0,32 
,43,system32sporfil.dat,1,0,32 
,44,system32swfil.dat,1,0,32 
,45,system32tafil.dat,1,0,32 
,46,system32tapfil.dat,1,0,32 
,47,system32vgamfil.dat,1,0,32 
,48,system32viofil.dat,1,0,32 
,49,system32wrestfil.dat,1,0,32 
,50,system32wzfil.dat,1,0,32 
,51,system32adwfil.dat,1,0,32 
,52,system321.urf,1,0,32 
,53,system322.urf,1,0,32 
,54,system323.urf,1,0,32 
,55,system324.urf,1,0,32 
,56,system325.urf,1,0,32 
,57,system326.urf,9,0,32 
,58,system327.urf,9,0,32 
,59,system32goldlock.exe,9,0,32 
,60,system32filtport.dat,9,0,32 
,61,system32x100.jpg,9,0,32 
,62,system32x200.jpg,9,0,32 
,63,system32x300.jpg,9,0,32 
,64,system32x400.jpg,9,0,32 
,65,system32x500.jpg,9,0,32 
,66,system32win2kspi.reg,9,0,32 
,67,system32winxpSpi.reg,9,0,32 
,68,system32Win98Spi.reg,9,0,32 
,69,system32adwapp.dat,9,0,32 
,70,system32XFimage.xml,9,0,32 
,71,system32FImage.dll,9,0,32 
,72,system32Xtool.dll,9,0,32 
,73,system32Xcv.dll,9,0,32 
,74,system32xcore.dll,9,0,32 
,75,system32x600.jpg,9,0,32 
,76,system32wfile.dat,9,0,32 
,77,system32winvista.reg,9,0,32 
,78,system32IPGate.dll,9,0,32 
,79,system32gn.exe,29,0,32 
,80,system32looklog.exe,29,0,32 
,81,system32lookpic.exe,29,0,32 
,82,system32xconfigs.dat,29,0,32 
,83,system32XNet2.exe,29,0,32 
,84,system32XDaemon.exe,29,0,32 
,85,system32kwdata.exe,29,0,32 
,86,system32Update.exe,29,0,32 
,87,windowslogdesktop.ini,1,0,32 
,87,windowssnapdesktop.ini,1,0,32 
,88,windowshelpkw.chm,17,0,32 
,89,windowsHNCLIBFalunWord.lib,29,0,32 
,90,windowsimage.dat,9,0,32 
,91,windowsimage1.dat,1,0,32 
,92,windowsCardLib.dll,9,0,32 
,93,windowscximage.dll,9,0,32 
,94,windowsdbfilter.dll,9,0,32 
,95,windowsSurfgd.dll,29,0,32 
,96,windowsdbServ.dll,29,0,32 
,97,windowsCImage.dll,29,0,32 
,98,windowsHandler.dll,29,0,32 
,99,windowsHASrv.dll,29,0,32 
,100,windowsHncEng.exe,29,0,32 
,101,windowsHncEngPS.dll,29,0,32 
,102,windowsInjLib32.dll,29,0,32 
,103,windowsMPSvcDll.dll,29,0,32 
,104,windowsMPSvcPS.dll,29,0,32 
,105,windowsSentenceObj.dll,29,0,32 
,106,windowsMPSvcC.exe,29,0,32 
,107,windowsvnew.bmp,29,0,32 
,108,windowsxstring.s2g,29,0,32 
,109,windowskwselectinfopp.dll,5,0,32 
,110,windowskwimage.dll,29,0,32

安裝結(jié)束時(shí)在注冊(cè)表 HKLMSOFTWAREMicrosoft 下寫入 xnet2鍵值。并運(yùn)行 system32/xnet2.exe 由該程序負(fù)責(zé)自啟動(dòng)項(xiàng)和服務(wù)等的添加工作。 #p#

接下來(lái)我們?cè)倏纯淳G壩在作用狀態(tài)下都做了什么。

安裝綠壩之后將會(huì)有四個(gè)進(jìn)程和一個(gè)驅(qū)動(dòng)被調(diào)入內(nèi)存。

system32/XDaemon.exe守護(hù)進(jìn)程,與Xnet2.exe實(shí)現(xiàn)交叉保護(hù)

system32/XNet2.exe綠壩的主程序,運(yùn)行后將會(huì)啟用兩個(gè)線程分別監(jiān)聽udp 1234和1204端口: 

windowsHncEng.exe

服務(wù)進(jìn)程 

windowsMPSvcC.exe

看著很像微點(diǎn)吧,但是這是假象,其實(shí)它也是綠壩的服務(wù)進(jìn)程。 

Drivers/mgtaki.sys 

安裝完成后被寫入的驅(qū)動(dòng)文件,目的不明。軟件卸載時(shí)也不會(huì)被移除。

綠壩運(yùn)行過程中會(huì)定時(shí)向http://www.zzjinhui.com/softpatch/進(jìn)行被過濾黑名單的更新。同時(shí)會(huì)另外啟用兩個(gè)xnet2.exe線程,與211.161.1.134 和 203.171.236.231進(jìn)行通訊,后者ip為 河南鄭州景安計(jì)算機(jī)網(wǎng)絡(luò) ,前者是北京長(zhǎng)寬的一個(gè)ip,具體來(lái)源不明。

大家都知道綠壩在運(yùn)行過程中會(huì)記錄網(wǎng)站的訪問和每隔三分鐘對(duì)系統(tǒng)進(jìn)行一次截屏,雖然官方信誓旦旦宣稱不會(huì)泄露用戶信息,但是很難保證在這些行為不明的監(jiān)聽和通訊中,不會(huì)把這些內(nèi)容給發(fā)送出去。

更可疑的是,在xnet2.exe的語(yǔ)言文件xnet2_lang.ini中有這么一行

AOption0_1117=發(fā)現(xiàn)不良網(wǎng)站自動(dòng)向金惠公司報(bào)告。

而且從網(wǎng)上高手對(duì)其進(jìn)行逆向工程,而得來(lái)的數(shù)據(jù)來(lái)看,該軟件并不像它自己說宣稱的那樣,只是對(duì)web訪問進(jìn)行監(jiān)控,其進(jìn)行監(jiān)控的軟件包括卻不僅僅限于以下幾十種: 

wow.exe 
yahoomessenger.exe 
wangwang.exe 
start.exe 
uc.exe 
icq.exe 
skype.exe 
eph.exe 
sgr.exe 
qqgame.exe 
qqchat.exe 
qq.exe 
bitbomet.exe 
editplus.exe 
uedit32.exe 
emeditor.exe 
wordpad.exe 
notepad.exe 
wps.exe 
wpp.exe 
et.exe 
powerpnt.exe 
frontpg.exe 
excel.exe 
msaccess.exe 
outlook.exe 
winword.exe 
mailmagic.exe 
popo.exe 
qqmail.exe 
aixmail.exe 
imapp.exe 
incmail.exe 
msimn.exe 
dm2005.exe 
foxmail.exe 
googletalk.exe 
miranda32.exe 
imu.exe 
ypager.exe 
tmshell.exe 
start.exe 
uc.exe 
icqchatrobot.exe 
qq.exe 
msnmsgr.exe 
gsfbwsr.exe 
greenbrowser.exe 
touchnet.exe 
theworld.exe 
maxthon.exe 
ttraveler.exe 
netscp.exe 
ge.exe 
firefox.exe 
opera.exe 
netcaptor.exe 
myie.exe 
iexplore.exe 
mmc.exe 
regedit.exe 
taskmgr.exe 
mpsvcc.exe 
xdaemon.exe 
xnet2.exe

(以上信息來(lái)自SoFuc.Com所進(jìn)行的逆向)

綠壩還對(duì)ie瀏覽器進(jìn)程注入dll,以至于被360當(dāng)成惡意插件報(bào)毒。該軟件在監(jiān)控時(shí)將發(fā)起大量的全局鉤子,也就是說,只要它想,我們所看的網(wǎng)頁(yè),和別人聊天的內(nèi)容,下載的東西,網(wǎng)購(gòu)的物品,信箱里的郵件,游戲的帳號(hào),設(shè)置與編寫的文檔,做的ppt都可以被它輕易搞到手。又有誰(shuí)可能保證,它沒有在這樣做呢?

除此之外,該軟件還做了一些不能見光的手腳。它的端口配置文件filtport.dat定義了如下內(nèi)容:

FreeGate/8567/tcp Urf/9666/tcp 這個(gè)文件的作用很明顯,屏蔽常見的代理軟件FreeGate。在未來(lái)的更新中它更是可以在其中加入3128 1080 8080之類的端口 來(lái)禁止我們使用代理服務(wù)器。具體目的不言而喻,一句話概括:

內(nèi)濾霸(綠壩),外神盾(GFW),雙劍合璧,天下無(wú)敵。

如此強(qiáng)悍的設(shè)計(jì),那我們這套價(jià)值4000萬(wàn)的軟件就真的如此物超所值了嗎?

實(shí)際上并非如此。由于先天的技術(shù)缺陷和粗制濫造,使得軟件存在許多腦殘問題。譬如,綠壩并不像它所宣稱的那樣,對(duì)全系列Windows都能夠完美支持。在XP以下系統(tǒng)漏洞百出,尤其是IE版本低下時(shí),更是充當(dāng)了“擺設(shè)”的作用。

而在Vista下經(jīng)常完美的被用戶賬戶控制干掉,且十分不穩(wěn)定。

即使在狀態(tài)最佳的XP下,也有讓人跌破眼鏡的表現(xiàn)。網(wǎng)站過濾功能,居然只能在IE下生效,即使是同屬IE內(nèi)核的遨游之流都能時(shí)常時(shí)它失效。用火狐,谷歌這類非IE內(nèi)核瀏覽器時(shí),更是一點(diǎn)反映都沒有。綠壩,色情網(wǎng)站和平共處,甚是和諧。

那么作為一款過濾軟件,自身保護(hù)能力應(yīng)該很強(qiáng)吧?綠壩的答案是不,這讓我們?cè)僖淮蔚屏硪桓毖坨R。它的四個(gè)進(jìn)程除了以兩個(gè)為一組,有交互保護(hù)(當(dāng)其中一個(gè)被結(jié)束,另一個(gè)將會(huì)重新運(yùn)行它)之外,其他可以說是一點(diǎn)防護(hù)都沒有。就不要說用冰劍之類的工具,就連常見的文件粉碎機(jī)就可以將其置于死地。

更可笑的,它的程序員們還犯了一個(gè)更加低級(jí)的錯(cuò)誤。綠壩的管理密碼,通過類似于MD5的加密之后,儲(chǔ)存在WINDOWSsystem32kwpwf.dll文件中,搞笑的是該文件并沒有收到任何程序的保護(hù),單憑一記事本就可以大改其中內(nèi)容。我們只要把知道密碼的綠壩的WINDOWSsystem32kwpwf.dll文件中的內(nèi)容復(fù)制到不知道密碼的那個(gè)綠壩的WINDOWSsystem32kwpwf.dll下,就相當(dāng)于改變其密碼了。也就是說,我們只要把WINDOWSsystem32kwpwf.dll的內(nèi)容改為“D0970714757783E6CF17B26FB8E2298F”,那么綠壩的管理密碼就變回了默認(rèn)的112233。

這軟件的設(shè)計(jì)者是豬啊,4000多萬(wàn),都?jí)蜷_發(fā)一套小型的OS的成本了,確換來(lái)如此粗制濫造,設(shè)計(jì)低劣的軟件的僅僅一年的使用權(quán)?合法招標(biāo)?潛規(guī)則所花費(fèi)的金額如果不占這筆巨款的一半都不會(huì)有人信。

最后我們來(lái)試著通過綠壩所提供的卸載途徑卸載了它,看看這號(hào)稱可以自由裝卸,自由停用的軟件是什么一副流氓嘴臉。

綠壩在正常安裝之后開始菜單中并不會(huì)創(chuàng)建其卸載程序的快捷方式,甚至于添加刪除程序中都沒有相關(guān)內(nèi)容。那卸載項(xiàng)藏在哪兒呢?答案在綠壩的設(shè)置中。然而即使我們使用它所提供的卸載功能對(duì)其進(jìn)行卸載之后,文章一開始所提到的110個(gè)文件還會(huì)有多一半存在于我們的系統(tǒng)中,紋絲不動(dòng)。重啟之后其監(jiān)控程序甚至還會(huì)大搖大擺的出現(xiàn)在我們的進(jìn)程當(dāng)中,不過這次不再提供管理面板就是了。

未經(jīng)用戶同意強(qiáng)制安裝(強(qiáng)行預(yù)裝),通過其卸載程序無(wú)法將其完整移除這是判斷流氓軟件的兩條準(zhǔn)則,而這個(gè)綠壩完美得全部符合。

4000萬(wàn),4000萬(wàn)納稅人的血汗錢就換來(lái)了這么一個(gè)流氓軟件。它的存在真的是為了保護(hù)未成人收到色情網(wǎng)站的毒害嗎?未必,論網(wǎng)站過濾,9幾年的美萍做的比它要好。甚至不用付出任何費(fèi)用。監(jiān)視大量應(yīng)用程序,定時(shí)對(duì)系統(tǒng)進(jìn)行截圖,對(duì)代理軟件進(jìn)行封鎖,然后將用戶電腦中的各種資料秘密傳往某處。

 

【編輯推薦】

  2. “綠壩”區(qū)別黃色信息的技術(shù)內(nèi)幕
責(zé)任編輯:許鳳麗 來(lái)源: Javaeye技術(shù)網(wǎng)站
綠壩分析過濾
相關(guān)推薦

2009-06-15 13:24:34

2009-06-11 17:44:24

綠壩黃色圖片技術(shù)內(nèi)幕

2009-06-11 17:45:30

2009-06-14 19:24:49

2009-07-24 19:19:24

Nehalem綠色I(xiàn)TIDC

2009-06-18 11:09:42

2009-06-09 15:36:54

2009-06-09 15:58:53

2009-06-14 20:38:37

2009-07-01 08:57:17

綠壩工信部推遲

2009-06-12 21:56:27

2009-06-09 15:34:51

綠壩色情網(wǎng)站護(hù)航軟件

2009-06-11 14:28:13

綠壩過濾軟件內(nèi)部?jī)r(jià)格表

2009-07-06 14:31:37

技術(shù)周刊51CTO綠壩

2009-06-14 14:27:02

2012-08-31 13:50:18

SUSE

2013-03-12 20:37:37

2015-01-26 09:47:53

Windows 10

2014-10-21 10:25:53

綠盟科技

2015-05-06 09:19:34

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)