|
|
http://softbbs.pconline.com.cn/10273556.html& u1 ]$ [7 v# @. }+ |
0 f. ?7 C) S3 V& m
/ t# d; [' k. `6 O6 v8 B- c绿X分析报告完整**版!为您解析绿X工作过程# R6 m5 D5 T9 v5 `
软件版本为3.17
8 T# E _0 ]; l* T7 e) u$ C& a+ D: N* I( Y) J5 l
绿X采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。0 {# L2 k* X# F T
. t& \- L5 P) J% P; A- N( _( A
- Show quoted text -3 Z: t, I7 W; C, S/ p+ K% t1 [
然后调用该目录下setup.exe开始安装。; b3 T6 B N8 @
绿X安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:
4 m+ A" M: [% _. s: ]( s. A,1,system32RunAfterSetup.exe,9,0,32
/ j9 Z3 v. d+ o& F,2,system32sys.dat,9,0,32
. a2 ~( P8 C. t8 X7 ^8 u* @/ Y,3,system32poppo.dll,1,0,32
Z( x6 I, x @$ l S6 K$ {,4,system32sysEx.dat,1,0,32
2 W4 P* ^. b8 F& ]8 }7 V* F,5,system32appface.dll,1,0,32- z/ B; o2 q& O- S7 Q/ m! t
,6,system32xabout.dat,1,0,328 u6 ?0 V: p; ~* j& b) X
,7,system32x100.dat,1,0,329 a M6 t( j# Z
,8,system32x200.dat,1,0,32
' T- [5 ~! x1 ]! J' \) t( B/ c,9,system32x300.dat,1,0,32% F( v: B- @; y% M3 s- t O" W9 i" v
,10,system32x400.dat,1,0,32; r5 E' Y+ T% B) o
,11,system32xnet2_lang.ini,9,0,32
$ w1 z7 z# n$ U,12,system32bnrfil.dat,1,0,32& b1 g8 x& i8 T3 E+ B
,13,system32bsnlst.dat,1,0,32
& L/ R5 z1 v6 q# d H# }+ f,14,system32csnews.dat,1,0,322 j/ O# M# `7 U9 }- t
,15,system32gdwfil.dat,1,0,32 i# S6 D8 E& o4 A# \
,16,system32TrustUrl.dat,1,0,32
8 l' c6 {) }$ z& J: |9 U,17,system32wfileu.dat,1,0,32
, ]6 ^0 J2 n% ~1 n7 Q( n,18,system32xwordh.dat,1,0,326 l& G5 ?* @1 w4 i) q7 ~
,19,system32xwordl.dat,1,0,32+ N7 E# ]- ` j2 I8 }# V- Y/ `
,20,system32xwordm.dat,1,0,32
( C) D8 g' Q* e) `) R,21,system32auctfil.dat,1,0,32
1 P* Q5 \6 W* R) Y,22,system32chtfil.dat,1,0,323 O( Q8 h- [8 X# M$ P" w
,23,system32cultfil.dat,1,0,32
, q+ `8 ]* W1 L0 d9 i8 i,24,system32entfil.dat,1,0,32
+ T0 R1 |4 i/ ^0 t,25,system32finfil.dat,1,0,32
# o0 N- _/ e5 z+ N0 X( P,26,system32fmfil.dat,1,0,32- K% ?7 P7 ]2 r/ d2 h( i& s
,27,system32fshrfil.dat,1,0,32
2 W" r; p, G; Q+ J,28,system32gblfil.dat,1,0,321 J: L0 o* O8 z2 p, I, `
,29,system32gnfil.dat,1,0,32, ]' F9 K' }% n! z. k' ~* _+ ]
,30,system32hatfil.dat,1,0,32/ t) n$ f! O3 j+ | n7 E& x- g" [
,31,system32iawfil.dat,1,0,32
2 V1 \( o; Y" |! ?) S% h' _,32,system32imgfil.dat,1,0,320 j8 I+ y$ b) {6 L- C$ h2 J1 L6 L0 l
,33,system32jbfil.dat,1,0,32
7 o$ Q: I% o: Q, U: [) T: c,34,system32lgwfil.dat,1,0,32# s) q" u- b( q- X
,35,system32movfil.dat,1,0,32: P0 J" B8 J: J- n
,36,system32mp3fil.dat,1,0,32
) X6 H* \* G- K! ]# `7 M,37,system32nvgamfil.dat,1,0,32. U* e$ s4 ]% q) x- T
,38,system32perfil.dat,1,0,32& k' o4 F5 a: X) [; u7 e
,39,system32picsfil.dat,1,0,323 V r0 s: {* ^
,40,system32pkmon.dat,1,0,32
+ Q" L; }, Y, Z,41,system32popfil.dat,1,0,32
# W6 ^& }! l' Q! ]. `' b,42,system32psyfil.dat,1,0,324 F3 {' A( h/ v# _- ?! S
,43,system32sporfil.dat,1,0,32
+ j* \% g" c& E* Q. c$ {" q,44,system32swfil.dat,1,0,32
6 \0 N% H) X. C8 s8 n2 D9 r- l,45,system32tafil.dat,1,0,325 E3 i$ @, ~1 N3 e
,46,system32tapfil.dat,1,0,32 {8 {. j8 h" Q# Z
,47,system32vgamfil.dat,1,0,32$ ` k5 C- M) S4 ^1 _/ u
,48,system32viofil.dat,1,0,326 C4 a/ i% }% x9 I% Z/ H
,49,system32wrestfil.dat,1,0,326 H: ^: p7 ^$ B s3 L: ~
,50,system32wzfil.dat,1,0,32
$ W: c7 o) j3 Y' T f4 c,51,system32adwfil.dat,1,0,32
: j; v* Q" ~% c, K: G: C,52,system321.urf,1,0,32' t: W* X' w( d: p: y6 q7 F, k/ @3 c
,53,system322.urf,1,0,32
/ p8 Q L% D+ n/ O1 T,54,system323.urf,1,0,32
9 L N3 {0 C: X* @& w,55,system324.urf,1,0,32/ i4 [! a6 `. q2 u3 X& Z
,56,system325.urf,1,0,323 X* o6 T1 n9 r2 n% ?
,57,system326.urf,9,0,32
, s3 p* F( j5 J- `2 C,58,system327.urf,9,0,32
" R7 B# G. I/ p) P/ \$ X,59,system32goldlock.exe,9,0,329 @* Y& |+ D7 c- m
,60,system32filtport.dat,9,0,32
, Y$ l5 d7 _% e& Q9 n/ E# I" E,61,system32x100.jpg,9,0,32% Z- Z, g6 _# u, b8 I
,62,system32x200.jpg,9,0,32' k% G, t, o& a" }% ]
,63,system32x300.jpg,9,0,320 Q. e) m% N; ^, I' `8 ?. q
,64,system32x400.jpg,9,0,32
! {% @2 e5 i5 W2 y7 D/ K1 `,65,system32x500.jpg,9,0,32* \- @0 E9 i6 k) V
,66,system32win2kspi.reg,9,0,32
( V" C+ `( [1 x& b" s4 o,67,system32winxpSpi.reg,9,0,32% l B! G; m7 ~9 ~8 q
,68,system32Win98Spi.reg,9,0,32 u! m5 P* t0 l! z" L. o% q* r
,69,system32adwapp.dat,9,0,32
$ c l: {1 G( A7 k& g) L# V,70,system32XFimage.xml,9,0,32
" C+ i! }) L; T+ Q4 I6 w2 n: H& B% D,71,system32FImage.dll,9,0,32% Y* X4 j# {, I
,72,system32Xtool.dll,9,0,32
; _9 T( O/ |3 `1 d,73,system32Xcv.dll,9,0,32
" Y& y5 D o. `0 H. A7 `9 I; R,74,system32xcore.dll,9,0,32- `2 }$ C& R8 c9 Z5 T' |
,75,system32x600.jpg,9,0,32
" u, T' |0 I3 Q,76,system32wfile.dat,9,0,32
6 `. Q6 U7 i4 W3 E7 O0 H,77,system32winvista.reg,9,0,328 C% q$ {! B' r# V" B
,78,system32IPGate.dll,9,0,32/ i8 M- @! c! ` K! J2 I6 @
,79,system32gn.exe,29,0,325 ]1 z. g, r8 }; Y
,80,system32looklog.exe,29,0,32; a/ @9 B$ M8 B) r# R
,81,system32lookpic.exe,29,0,32; o" A- ^; y e) f
,82,system32xconfigs.dat,29,0,32
! n7 J Q, R7 H,83,system32XNet2.exe,29,0,32
1 X k4 ?& @# o9 x/ Y7 m8 Y,84,system32XDaemon.exe,29,0,32
5 Z" k7 | u+ R8 [; ?,85,system32kwdata.exe,29,0,32 i- f% C( W: e5 X3 ~
,86,system32Update.exe,29,0,320 ?1 h* v( v7 W1 e: I5 |
,87,windowslogdesktop.ini,1,0,32
$ g& {6 g: C4 h: C! S3 K+ b8 ^, o2 s,87,windowssnapdesktop.ini,1,0,321 M2 k: Y9 y3 Q6 Q; m$ l5 M
,88,windowshelpkw.chm,17,0,32
" O2 {# k" ]1 F- e. l" ?: y,89,windowsHNCLIB**Word.lib,29,0,322 n& C/ J, P5 G& T/ R
,90,windowsimage.dat,9,0,32& P# y+ } q1 `3 E7 O
,91,windowsimage1.dat,1,0,32
/ z# y- Y, ]1 V3 o,92,windowsCardLib.dll,9,0,32( x( l3 V6 a: V0 U: i- G; k% u
,93,windowscximage.dll,9,0,32# C! M0 J2 U% l7 B, O0 Z
,94,windowsdbfilter.dll,9,0,32
3 D# \4 }, ^6 O8 u3 Q,95,windowsSurfgd.dll,29,0,320 X$ P; B t' r% E) U/ P
,96,windowsdbServ.dll,29,0,32+ N3 B9 |+ s: @% `- n3 r
,97,windowsCImage.dll,29,0,32
# k/ |9 L6 c) O. E8 z2 r ^' |,98,windowsHandler.dll,29,0,32
" w& G* p, a- P* X- s,99,windowsHASrv.dll,29,0,32
) f1 j5 J3 R8 h+ I,100,windowsHncEng.exe,29,0,32
) i. Z/ |3 ~: u,101,windowsHncEngPS.dll,29,0,32( o( ?' z# s- S5 M P
,102,windowsInjLib32.dll,29,0,327 O+ u! v3 b' w% F0 v' P
,103,windowsMPSvcDll.dll,29,0,322 c- p) h* y) h! I% t
,104,windowsMPSvcPS.dll,29,0,32) u8 H6 O' \% i4 ~" I0 e5 C" d" a3 e
,105,windowsSentenceObj.dll,29,0,322 J: N& M, M0 x5 b* d3 \
,106,windowsMPSvcC.exe,29,0,32$ G/ N1 q6 M8 S) s1 b, A
,107,windowsvnew.bmp,29,0,32
7 j* d& S# P! _# t3 U,108,windowsxstring.s2g,29,0,32
* y- f" W2 i1 v" l( }7 W,109,windowskwselectinfopp.dll,5,0,32" B% n! }: r5 Z
,110,windowskwimage.dll,29,0,32/ s* e/ m H/ {" {# V0 U
, m, U6 j6 @$ @6 C0 V7 H安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。4 R. {7 w9 [) K* C" T
8 A+ v2 J8 h9 v! s, Z* H# x1 s0 a
接下来我们再看看绿坝都做了什么。4 }( P* a0 E' \/ j! W* W& Y7 P/ x3 ?
- w% Y. j2 k7 H1 |
安装绿X之后将会有四个进程和一个驱动被调入内存。
1 i3 S8 w0 F% H1 p0 @$ w) osystem32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护
7 F3 ^/ h5 c1 z9 B+ l" G# W& ^/ C+ D; U: T
system32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:
" _" a& a) H u' n/ ^1 X6 D$ h* Z. H0 `
windowsHncEng.exe# Q0 a1 j6 B. Q1 p1 n% @
服务进程
2 Z7 V. P, @9 ~* } }- XwindowsMPSvcC.exe' o. A/ o/ k# {" }* B2 k
7 |, T' Z; M5 ]
看着很像微点,但是这是假象,其实它也是绿X的服务进程。
' g3 O J- S4 N5 s# A5 H. @4 Q e7 ~$ W) w# [8 v- J2 W* h/ \
Driversmgtaki.sys
+ \" ]. ]1 D; U( Q$ C8 I% L8 n" @安装完成后被写入的驱动文件,目的不明。* W7 }# {+ _, n5 y4 _
软件卸载时也不会被移除。. R2 r6 l' E3 L1 T4 Z
* c0 e$ z2 O7 }, ^
! c- d# b$ c4 A' N. i7 o- m$ X. W- J+ G
6 y) \3 z8 o1 {
绿X运行过程中会定时向
1 ^; p4 J L$ g7 g7 _进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京 长宽的一个ip,具体来源不明。+ y& F( |/ m* }) r
/ u2 O& v8 w R& V大家都知道绿X在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。
: O0 p9 O) c7 C/ [2 X6 p& l
2 N4 D$ o3 l6 A: A3 n更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行$ v, @2 F0 r, p7 H3 E- {
; g2 z/ N* M* a) {8 _1 q! N8 f
- Show quoted text -( s8 y# k: @3 W9 H/ S
AOption0_1117=发现不良网站自动向金惠公司报告。% |4 X; e% Q' v$ t }
7 _) k/ F/ R& \9 q& n
而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:
! r! \3 v# @4 ?8 o! F- ?6 |4 Zwow.exe5 B8 b! P& y) F; M4 X% J. p
yahoomessenger.exe
8 G! j* Y7 ^& C* {wangwang.exe
, n0 g) _5 R; S; C4 n& Q2 cstart.exe/ \! u6 D0 V* G0 M1 l
uc.exe; L9 M( A2 {6 l
icq.exe
6 o: T2 Q* N! b3 O6 w) ?/ fskype.exe
/ }$ x: w5 |' { R: |eph.exe( B8 W* \& H" n: A
sgr.exe
' c/ f) x" F5 d! W6 m0 oqqgame.exe
* P0 v/ U7 ^- t( D p. c' |5 G" ~' bqqchat.exe7 M% @/ r S8 _; r! Y4 a
qq.exe
$ H# u* S6 ?( _* b* C6 z9 b. obitbomet.exe
|: e2 ]4 F5 {editplus.exe! V2 D* F1 V% H& B# f9 H p# u
uedit32.exe
6 i2 V, i/ U6 R' [" ~- pemeditor.exe+ F' A! Z/ Q0 b
wordpad.exe) ~3 g: T2 e0 g! o$ N, b
notepad.exe2 ~2 ~: l# Y) [2 X
wps.exe
9 w6 I% [2 i% m% Y/ O& ]+ cwpp.exe1 k3 F( D7 y7 i1 `) D. X# X
et.exe
. N" o; h7 v: B5 c! Rpowerpnt.exe
# D8 q, B$ E5 m9 q5 Ofrontpg.exe; ? N: H& n1 z# e
excel.exe& s$ E! N) d: V% s1 I6 L
msaccess.exe: |5 `" r1 r, N/ n' c" p# n
outlook.exe% W2 f; t* F4 `0 q2 H7 A1 D, n
winword.exe6 @# u4 ^, ]' T+ |+ b
mailmagic.exe
& w( }, j' I* `$ Jpopo.exe, z2 j1 N- ?5 K5 V& d9 T
qqmail.exe
8 p, c H2 o0 jaixmail.exe, b( p, G8 R: T. D/ d! p w' i
imapp.exe/ L) ^* d3 y2 M' Q2 V
incmail.exe7 O8 R) O2 X* {; \ j
msimn.exe
6 Q% b6 W5 Z- @1 X" R+ Ydm2005.exe
; I1 U8 R# i& e7 l+ }foxmail.exe3 T$ U' M; d" E4 c$ I# O {
googletalk.exe
+ B$ g; i/ w1 m. Zmiranda32.exe: ?4 P1 B* R) U W/ i' c* _
imu.exe+ E& k7 a& M+ _8 x5 c2 d/ r |
ypager.exe: k" u3 `( m( d$ h" }' i0 H. n. a
tmshell.exe
5 O& P; a8 |& g7 |start.exe9 n1 J- X. u# M/ {
uc.exe* N" x' }( ]( L1 d \4 k
icqchatrobot.exe
9 s, K, ^0 q/ E9 c) K0 Yqq.exe
3 h9 G" z1 f u, Fmsnmsgr.exe1 b. m: h4 V0 U9 j
gsfbwsr.exe
" ]+ J% R& N: lgreenbrowser.exe
0 ]! A6 H! h1 \touchnet.exe
6 K0 U* P5 ]1 ~( r: qtheworld.exe3 h) M8 M7 E- q0 E! X+ I
maxthon.exe6 A7 @, z, g V/ r/ c1 O( s
ttraveler.exe3 L$ T/ `0 E' e& n$ e% c
netscp.exe
7 k5 v2 `1 |$ E; {; xge.exe4 [3 @- `2 h5 v
firefox.exe
6 _3 Y5 p1 L e% P8 wopera.exe
, y5 ]* e- g- }% u3 gnetcaptor.exe
5 \( D0 A, t7 I% m% J" ^8 o% nmyie.exe1 b: J5 ?' y1 F0 N5 v) N
iexplore.exe3 O% H( |9 p$ E% Q2 r
mmc.exe! T2 ]/ k. n& j! {6 }- p
regedit.exe/ a2 ?3 J, b4 x: M( w; |/ M5 g
taskmgr.exe
- b5 S2 x/ I) l2 J$ p9 A$ \mpsvcc.exe
3 [9 p; r: g. }4 ^8 O3 P: Yxdaemon.exe
1 m2 i5 W1 r+ f8 q/ N* k* a% txnet2.exe; X& S+ s) d. T+ B7 l; s0 j
(以上信息来自SoFuc.Com所进行的逆向)
" u; E* B7 J: R5 _0 z; ?9 g2 q" E2 U( y& A5 J, _: f7 `3 V
绿X还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。( B1 ^) M/ c5 b( N1 q- h
0 E# s3 F$ v) ^
该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?
) a8 b1 S( G! W7 F, a/ |7 g7 Q7 {8 |: W, _
除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:
- H4 b+ ?- H1 y3 B# f
, L( ?- b2 K" S" K FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻。
! b* y4 F# W1 v3 m# K$ j# S! y# ]
: E, l* }; c' J: j& `- Z% g6 [0 g! D* o/ U. y
如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?# n8 R; {( v' C0 }2 _6 \
' z N m- }$ T/ p4 {4 v F
实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿X并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。* N$ m( F: j: u5 X x6 ~- z
4 K3 ?( s T; v$ u- N! [+ V 而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。' B( h6 g+ K5 \3 p9 r
即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿X,色情网站和平共处,甚是和谐。, `) I' |& v$ p4 |9 N) Y$ V4 }/ H
; T% K r P" f, `; R; d' k" I
那么作为一款过滤软件,自身保护能力应该很强吧?绿X的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。
# O" E& ]) k2 A- z/ E0 K3 }% H7 \. z" h8 w
& c( y# o7 P& L
更可笑的,它的程序员们还犯了一个更加低级的错误。绿X的管理密码,通过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿X的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿X的管理密码就变回了默认的112233。
# P# }3 B/ r4 X' S" [" F, ~6 C0 @4 W1 w9 a6 ?
M% Q* P0 r# o* Y 这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。
8 T! {4 L* y( G- f R" q+ _+ c8 Q m w- l) O- _+ K* l* ~6 V
最后我们来试着通过绿X所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。
4 ]4 G# l& _" ^. w% p
& T9 F7 l) k: m3 ~; W3 r) x. }- m# B
绿X在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿X的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。+ w* a& D1 q" s7 h. t: M! Q4 [, C
" y( e( ?/ r5 _+ }9 q 未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,监视大量应用程序,定时对系统进行截图,对代理软件进行**,然后将用户电脑中的各种资料秘密传往某处。 |
|
IP卡
狗仔卡
发表于 2009-6-15 11:39
微信
收藏
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
...内幕啊!!!且看绿坝怎样下得了台
