http://club.cat898.com/newbbs/dispbbs.asp?boardid=1&id=2856764 {c
O8q
}L -Lb7=�9��8 [转贴]过滤软件绿坝 高手全破解
@3=q9f�t�m 文章提交者:justwit 加帖在 猫眼看人 【凯迪网络】
http://www.kdnet.net "O|.e`C%^� ""�|;5kJS4 价值4000万的过滤软件,绿坝分析报告
FZ�ZO-,x�a �.�jC5� y& 开场白就免了,直接进入正题。
9vwm�
RVN y65lbl%Z�n Oo FMOlb.Z 这价值4000万的神秘软件究竟是个什么样,让我们看看。
Tr|PR��� t ;cPPx�`0$9 软件版本为3.17
�?�E�}�gm> �U�u
g��R� 绿坝采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。
YK$[)�x\�S ��u?�g&(h� - Show quoted text -
v&d�'AB�eT 然后调用该目录下setup.exe开始安装。
t.VV�E:A^% 绿坝安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:
�^w��"h
A; ,=c(�P9}^� ,1,system32RunAfterSetup.exe,9,0,32
N�`3^:EJL8 ,2,system32sys.dat,9,0,32
B9KB�q��$e ,3,system32poppo.dll,1,0,32
%X}vuE[[UC ,4,system32sysEx.dat,1,0,32
;(;~yB|NZ5 ,5,system32appface.dll,1,0,32
7'Hh�^�0<� ,6,system32xabout.dat,1,0,32
!�>=lah�$& ,7,system32x100.dat,1,0,32
+{��m�+aHk ,8,system32x200.dat,1,0,32
gu�~R4��@3 ,9,system32x300.dat,1,0,32
q8;MPX�SG3 ,10,system32x400.dat,1,0,32
�zxH�<~�2� ,11,system32xnet2_lang.ini,9,0,32
3^����-R_� ,12,system32bnrfil.dat,1,0,32
k'Pv�Ql"�I ,13,system32bsnlst.dat,1,0,32
J���P5e�n� ,14,system32csnews.dat,1,0,32
HY?#�r]Ryt ,15,system32gdwfil.dat,1,0,32
S�l'$w4s
� ,16,system32TrustUrl.dat,1,0,32
KsK��]y,^Z ,17,system32wfileu.dat,1,0,32
a\oz-�`ESa ,18,system32xwordh.dat,1,0,32
^6F, lS�_t ,19,system32xwordl.dat,1,0,32
gy~2�LY�!} ,20,system32xwordm.dat,1,0,32
~�Rw�oktO� ,21,system32auctfil.dat,1,0,32
�)PYh./�_2 ,22,system32chtfil.dat,1,0,32
v
�}��D0t] ,23,system32cultfil.dat,1,0,32
)C�{2�0��_ ,24,system32entfil.dat,1,0,32
9�ZatlI�,� ,25,system32finfil.dat,1,0,32
w��Jp�1Fl~ ,26,system32fmfil.dat,1,0,32
)R?uz�X^qf ,27,system32fshrfil.dat,1,0,32
fo`R�=
|L[ ,28,system32gblfil.dat,1,0,32
a~Ld
c�UYs ,29,system32gnfil.dat,1,0,32
U��UZm]�G+ ,30,system32hatfil.dat,1,0,32
5J���K'2J& ,31,system32iawfil.dat,1,0,32
pFZ�$z?lI� ,32,system32imgfil.dat,1,0,32
�RP��[��`\ ,33,system32jbfil.dat,1,0,32
B�!8X?8�D ,34,system32lgwfil.dat,1,0,32
�9^`cVjD5 ,35,system32movfil.dat,1,0,32
1^V.L+0�s] ,36,system32mp3fil.dat,1,0,32
{D� :WXv�I ,37,system32nvgamfil.dat,1,0,32
z�xD=q5in� ,38,system32perfil.dat,1,0,32
u�ud�d�'L� ,39,system32picsfil.dat,1,0,32
2�Ub-uf�kU ,40,system32pkmon.dat,1,0,32
L�+T7Ge�
q ,41,system32popfil.dat,1,0,32
6gO(��
� 8 ,42,system32psyfil.dat,1,0,32
i �gjn9p&_ ,43,system32sporfil.dat,1,0,32
?�TIi�0;h� ,44,system32swfil.dat,1,0,32
?*r%�*C�L ,45,system32tafil.dat,1,0,32
v&7<f��$�5 ,46,system32tapfil.dat,1,0,32
K :�+q
9;g ,47,system32vgamfil.dat,1,0,32
B
Y�HyqpP9 ,48,system32viofil.dat,1,0,32
.3XiL=^~Qp ,49,system32wrestfil.dat,1,0,32
WPlf8* -fQ ,50,system32wzfil.dat,1,0,32
n�9����k�� ,51,system32adwfil.dat,1,0,32
�/��
0Qo�( ,52,system321.urf,1,0,32
~�Cw7.NA{3 ,53,system322.urf,1,0,32
O�I�7�8wG� ,54,system323.urf,1,0,32
!b4A�eiL>w ,55,system324.urf,1,0,32
o"z;k3(i$7 ,56,system325.urf,1,0,32
�/���FpPf[ ,57,system326.urf,9,0,32
Qp)�?wn�y4 ,58,system327.urf,9,0,32
K �;]d��Z8 ,59,system32goldlock.exe,9,0,32
0�R�`>F"�> ,60,system32filtport.dat,9,0,32
{�Oq8A.daJ ,61,system32x100.jpg,9,0,32
^,vFxN-�-q ,62,system32x200.jpg,9,0,32
v.vkQ�Q0[9 ,63,system32x300.jpg,9,0,32
MU2kA�&�LH ,64,system32x400.jpg,9,0,32
+]�NpcE'
� ,65,system32x500.jpg,9,0,32
&2[�X�u�4* ,66,system32win2kspi.reg,9,0,32
0dS�(g�&ZR ,67,system32winxpSpi.reg,9,0,32
#R31V�QwK5 ,68,system32Win98Spi.reg,9,0,32
L;�L_�$hu) ,69,system32adwapp.dat,9,0,32
2G�!z/�OAj ,70,system32XFimage.xml,9,0,32
��)Y�'�g;� ,71,system32FImage.dll,9,0,32
�`�d4�xX@
,72,system32Xtool.dll,9,0,32
;�l�rO?sm� ,73,system32Xcv.dll,9,0,32
,/TmTX--d� ,74,system32xcore.dll,9,0,32
I.|b�:c
xN ,75,system32x600.jpg,9,0,32
�G� %\/[
B ,76,system32wfile.dat,9,0,32
�.f. tP�m ,77,system32winvista.reg,9,0,32
B]�}g�fV�O ,78,system32IPGate.dll,9,0,32
?"<m�{,yQI ,79,system32gn.exe,29,0,32
E_�[a|N"D� ,80,system32looklog.exe,29,0,32
9Ir�Cu?n9b ,81,system32lookpic.exe,29,0,32
�/�-�m��) ,82,system32xconfigs.dat,29,0,32
gz��H�;`,� ,83,system32XNet2.exe,29,0,32
9 BU#�THDm ,84,system32XDaemon.exe,29,0,32
*��B��{�] ,85,system32kwdata.exe,29,0,32
`k8j�FB C
,86,system32Update.exe,29,0,32
�/Y�U�8�L� ,87,windowslogdesktop.ini,1,0,32
,_w}\'��?L ,87,windowssnapdesktop.ini,1,0,32
NV?XZ[�<*< ,88,windowshelpkw.chm,17,0,32
�V�m�8d�X? ,89,windowsHNCLIBFalunWord.lib,29,0,32
.d$�Q�5Qae ,90,windowsimage.dat,9,0,32
Zq�pK}I��� ,91,windowsimage1.dat,1,0,32
�y;4g>m
a0 ,92,windowsCardLib.dll,9,0,32
f}�4A�,%:1 ,93,windowscximage.dll,9,0,32
Hg8�
�4\fA ,94,windowsdbfilter.dll,9,0,32
H�.C*I�L�9 ,95,windowsSurfgd.dll,29,0,32
Bh�bfP���Q ,96,windowsdbServ.dll,29,0,32
�z7L+wNYwg ,97,windowsCImage.dll,29,0,32
��4KSq]S�. ,98,windowsHandler.dll,29,0,32
���|M�
t�2 ,99,windowsHASrv.dll,29,0,32
aaN�/��HE_ ,100,windowsHncEng.exe,29,0,32
ePI�N<F;�I ,101,windowsHncEngPS.dll,29,0,32
��=_��g#�I ,102,windowsInjLib32.dll,29,0,32
D)�l\zs%ie ,103,windowsMPSvcDll.dll,29,0,32
)+8r$� i�� ,104,windowsMPSvcPS.dll,29,0,32
��Y}s�6�__ ,105,windowsSentenceObj.dll,29,0,32
!�O�}e�)t� ,106,windowsMPSvcC.exe,29,0,32
�G|-RscP�e ,107,windowsvnew.bmp,29,0,32
< ���.e�4 ,108,windowsxstring.s2g,29,0,32
�4b`Fi�@J\ ,109,windowskwselectinfopp.dll,5,0,32
�*)I^+��zN ,110,windowskwimage.dll,29,0,32
%21����|-B NG:4�Q.G1g 安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。
�:�sLg$OF� �x�>BF�K@# 接下来我们再看看绿坝在作用状态下都做了什么。
F^%\A��A]8 P��O
0Od z 安装绿坝之后将会有四个进程和一个驱动被调入内存。
�xN}���f�? system32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护
��Q�)M-f;O ^-n^IR}�J system32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:
r�UyGTe(@h �Li���kCIO windowsHncEng.exe
w�L>*WLf
R 服务进程
u�y�s�Tyzx B"#pv
�J�N windowsMPSvcC.exe
#Z
`Tk)u/ 看着很像微点吧,但是这是假象,其实它也是绿坝的服务进程。
�c(FGW7L�< �5M #',(X� Driversmgtaki.sys
�(a�-Lx2�T 安装完成后被写入的驱动文件,目的不明。
:"Tk�l$@,� 软件卸载时也不会被移除。
v,�ni9�DIu V51k�X��{S @|�"
>j#0� �-b8SaLak� 绿坝运行过程中会定时向
http://www.zzjinhui.com/softpatch/进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京长宽的一个ip,具体来源不明。
YPq:z"`-y4 FV
a��C8Kw 大家都知道绿坝在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。
vfx{�:�3fO G?\eO&QG{" 更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行
3B,dL|q(@J sKR%YK
�"A - Show quoted text -
{}iS�5[H�] AOption0_1117=发现不良网站自动向金惠公司报告。
KydAF�xU�b vkR�~nIp�� 而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:
'73�}{" '� wow.exe
i;]# @n��| yahoomessenger.exe
!;[cJbq�nh wangwang.exe
0:4>rYBC�� start.exe
(Pw,�3CbJ uc.exe
n
c~JAT#�' icq.exe
�][V�`ym-e skype.exe
J.U%�W�}Hx eph.exe
*&_cp]3-WF sgr.exe
KD�+&5�=�Y qqgame.exe
cq
gC�cO�, qqchat.exe
)1@%���!fr qq.exe
4o��ryTckS bitbomet.exe
�B1��E:P`t editplus.exe
gM]E�8%;�{ uedit32.exe
I!u=.[5zdC emeditor.exe
/n>v�P�Jvz wordpad.exe
WS�.�g�`�% notepad.exe
�1uG)U)y/Q wps.exe
*14:�^neoI wpp.exe
Z�02EE-��A et.exe
\pT�C[R�y1 powerpnt.exe
T<Q�a`|5�> frontpg.exe
�SK@� p0:� excel.exe
�F6Q�%<p a msaccess.exe
{YrA��[�9 outlook.exe
TqV^���\C? winword.exe
7P*\�|Sxk% mailmagic.exe
H]wP��\m)� popo.exe
�7^M$u\a)U qqmail.exe
�)t7�
M�D( aixmail.exe
��f O�+�lD imapp.exe
�j;D$q�d'J incmail.exe
7
<]YK`a2d msimn.exe
��T@�#?{eA dm2005.exe
���Z(R0IW� foxmail.exe
h�&d"�|�<� googletalk.exe
:
�)��B1|1 miranda32.exe
C0Fd�<��|[ imu.exe
xt�"-�Jmox ypager.exe
0L#i c61�U tmshell.exe
�%_B2�/~�� start.exe
�+�|pYu<OY uc.exe
�+�\�&6Zbn icqchatrobot.exe
��,�g*3u�� qq.exe
�5�T(���cy msnmsgr.exe
O<,\��tZ'N gsfbwsr.exe
~J���su"kr greenbrowser.exe
ZHeq)5C ;f touchnet.exe
'��o0o.&/= theworld.exe
�Q!=`|X�|: maxthon.exe
t>*(v�#WeZ ttraveler.exe
�bT��
�T>� netscp.exe
��60A!Gob� ge.exe
Xppb|$qp4H firefox.exe
2$!,$J�-<Y opera.exe
8)p���L0bg netcaptor.exe
h�?B�1Emlq myie.exe
�#^9k&t#!6 iexplore.exe
.v'`TD)�.6 mmc.exe
X���c"
%�- regedit.exe
iT���O Y�� taskmgr.exe
e 6�>j
gy� mpsvcc.exe
�! �os@�G� xdaemon.exe
FU .�%td=: xnet2.exe
�X !0 7QKs (以上信息来自SoFuc.Com所进行的逆向)
�Lw(tO0b2H JTB�t=u{6^ 绿坝还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。
mSZg;7DE3* �Df�*<3��G 该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?
?P>�4H0@I+ >��py[g�0J 除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:
����tf8x�c iP�����Wr- FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻,一句话概括:
eK*oV}U-k� vZ$E�
[EG} 内滤霸(绿坝),外神盾(GFW),双剑合璧,天下无敌。
3#]II�j�`\ 9h��)8Mq+M .j|u��f[?h 如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?
��E?KPez� �3Zyv�X]@_ 实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿坝并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。
`�T7TW�v"M aE3eYl9�u� 而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。
W�_�Hoa�*~ I2SH
�j6�- 即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿坝,色情网站和平共处,甚是和谐。
ME]�89 T�& R�F'n�wzM3 那么作为一款过滤软件,自身保护能力应该很强吧?绿坝的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。
CH|�c�K8q� Ef�?�|0�Gm I} +up,B]o 更可笑的,它的程序员们还犯了一个更加低级的错误。绿坝的管理密码,通过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll 文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的 WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿坝的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为 “D0970714757783E6CF17B26FB8E2298F”,那么绿坝的管理密码就变回了默认的112233。
�wx�Pl[)E� U,�6��s�R� �\�)>��#`X 这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。
*f�>\�X[wN \QF0(*!��! 最后我们来试着通过绿坝所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。
�S&]�r6�ss a'Zw^g���� �Gx}�`_�[- 绿坝在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿坝的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。
+s;Vfc$b]H �
6B��cr.` 未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。
1n7'\�esC* X%(NI�(+x, 5ZH3}B^L$� 4000 万,4000万纳税人的血汗钱就换来了这么一个流氓软件。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,论网站过滤,9几年的美萍做的比它要好。甚至不用付出任何费用。监视大量应用程序,定时对系统进行截图,对代理软件进行封锁,然后将用户电脑中的各种资料秘密传往某处。
h#�Z�,ud_� 3k(tv U+eC 绿坝,不,应该说是滤霸,它只不过是一个由纳税人买单,在种种潜规则和层层压榨油水之后所形成的一个GFW工程的副产品罢了,而这笔巨额开支,也只不过是整个GFW体系中的冰山一角。而已。
