|
|
http://softbbs.pconline.com.cn/10273556.html+ [1 y. J% ^' ]7 y
( i" W! V1 Q# G/ O* n
* j# \3 ^' E4 W+ L绿X分析报告完整**版!为您解析绿X工作过程
" K* H) U% `' r& S, d( y/ V6 m# l( e软件版本为3.17 G: w1 B- p6 v7 V& Q4 B# T0 n; a3 f
{& r* O0 b4 l) K" `0 J# D 绿X采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。
& Q* `# `6 S- g/ l% f/ {
) \4 D. C; ~4 K7 ]- Show quoted text -, Q g# e, H: T+ C$ F
然后调用该目录下setup.exe开始安装。* ]- P* {1 K+ ~8 `1 l P5 y/ A1 s
绿X安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:
/ @, I5 v: v+ O5 p2 e' k9 T& B,1,system32RunAfterSetup.exe,9,0,32$ _" p$ k9 b' i# [3 K, `
,2,system32sys.dat,9,0,32( L' Y8 a6 D+ E# s1 E! A
,3,system32poppo.dll,1,0,32
" n2 O: c X7 @,4,system32sysEx.dat,1,0,32! J5 ]; ~! A9 _4 f
,5,system32appface.dll,1,0,32) _+ ]1 a* L6 M, ?+ X8 X
,6,system32xabout.dat,1,0,32+ y0 b/ c0 ~4 R# r7 m$ |' B6 M
,7,system32x100.dat,1,0,32
' X, e6 M* u" B$ s: M,8,system32x200.dat,1,0,32
& d# P- K3 I2 d, U& [,9,system32x300.dat,1,0,32& ^1 w1 o6 @4 B0 X n
,10,system32x400.dat,1,0,326 u. ^; u% u5 }) }) m. ?
,11,system32xnet2_lang.ini,9,0,323 U$ \; o; U8 Q) ?& y
,12,system32bnrfil.dat,1,0,322 `( ~1 `8 H# q6 R
,13,system32bsnlst.dat,1,0,327 D4 {# g6 q9 g" A& a J. B
,14,system32csnews.dat,1,0,32/ M! c, v* H* c2 E' Z
,15,system32gdwfil.dat,1,0,32
0 B& b# H: L! h0 w# s,16,system32TrustUrl.dat,1,0,32, z3 s9 o: m) c6 \
,17,system32wfileu.dat,1,0,326 g3 ^' z' \6 h% I! H
,18,system32xwordh.dat,1,0,32$ I1 f+ `. e4 h
,19,system32xwordl.dat,1,0,32
5 l5 [! H4 b9 w% M$ k6 K,20,system32xwordm.dat,1,0,32
( r0 v& L1 A! |$ B, D# w; I1 o4 Q: [,21,system32auctfil.dat,1,0,32. P4 E' O& E6 t c! e& w! I0 p
,22,system32chtfil.dat,1,0,32
9 ?" T: h; D; k4 b2 },23,system32cultfil.dat,1,0,32
$ P+ c7 R; _2 l( t: g5 D,24,system32entfil.dat,1,0,32( M) m% R+ R6 }, E! o
,25,system32finfil.dat,1,0,32. L: I1 J& v( W. o; T
,26,system32fmfil.dat,1,0,32
! b+ k9 w4 w/ d,27,system32fshrfil.dat,1,0,32% p, ^0 l2 o# L& q4 J& `
,28,system32gblfil.dat,1,0,32
# c' n# ]2 f* f; G/ q9 P' _,29,system32gnfil.dat,1,0,32$ l: Y0 h: n4 H; E, @6 Q# \
,30,system32hatfil.dat,1,0,32
$ h5 M X. V/ }4 a% f' { ?! P,31,system32iawfil.dat,1,0,32
|/ J+ c. ~! E6 s# \,32,system32imgfil.dat,1,0,32
7 h$ b8 ]% Y: C, V+ U! _,33,system32jbfil.dat,1,0,329 T: Q5 x, J5 s+ F6 U+ E0 z0 x
,34,system32lgwfil.dat,1,0,32! p4 U1 }7 s5 K- r) h. E2 ~* b
,35,system32movfil.dat,1,0,323 Q. S/ o& L, w, M I3 s! c, q
,36,system32mp3fil.dat,1,0,32
* v6 M3 s3 I0 @,37,system32nvgamfil.dat,1,0,32
k4 r, ]7 B0 |- J+ p/ C8 D" z3 J,38,system32perfil.dat,1,0,32
+ ]/ @) W+ h: s8 b. n/ Y- x,39,system32picsfil.dat,1,0,324 G( Z( B2 p4 a
,40,system32pkmon.dat,1,0,32
6 f9 ?9 o; H& Y: f,41,system32popfil.dat,1,0,32: Q! c7 z4 h0 T/ j6 H4 H$ Q) G- d4 q
,42,system32psyfil.dat,1,0,32
& Q1 f7 W( z0 a/ r9 [! w,43,system32sporfil.dat,1,0,32) ?* Y$ [& K$ S8 T$ l( `5 q
,44,system32swfil.dat,1,0,32- l8 o% T3 ]; h8 p+ A" E
,45,system32tafil.dat,1,0,32
/ }3 F+ v- X3 v- E! ?# y,46,system32tapfil.dat,1,0,32( }3 s8 w3 m, H+ n2 o$ { M
,47,system32vgamfil.dat,1,0,32* `7 P9 b& x+ O- K$ L
,48,system32viofil.dat,1,0,32! M# F- j/ ]5 k9 ~3 l
,49,system32wrestfil.dat,1,0,32. d4 S! Q# \1 M1 {; q
,50,system32wzfil.dat,1,0,32* h* H* O- a: V3 W$ }! q {
,51,system32adwfil.dat,1,0,329 I7 X2 t& K* f( ~4 v& x I
,52,system321.urf,1,0,32" M B( L% G, v$ b4 @4 A
,53,system322.urf,1,0,32
9 r; H/ Y ~) f0 l7 J0 C,54,system323.urf,1,0,321 e- h2 Y5 y9 W5 p
,55,system324.urf,1,0,32
5 Q1 c- `* \: Z% V) J: b+ P; t,56,system325.urf,1,0,32
$ e5 K9 U; \( H& ?, E,57,system326.urf,9,0,32. x- E8 B' [! T. M9 ?! n; q/ e ?, H
,58,system327.urf,9,0,32
8 F. _: }' x2 j C) @: t. G,59,system32goldlock.exe,9,0,32$ T- z+ {) L1 z3 u- B" k0 {
,60,system32filtport.dat,9,0,32
7 Y* `" H: v+ }: d$ c: y2 n5 g2 q,61,system32x100.jpg,9,0,32
7 e) r8 |+ [; I; |; r: X! },62,system32x200.jpg,9,0,32
% _ x, u% ?& u7 O,63,system32x300.jpg,9,0,32
' q3 D4 }# b- M, _0 u,64,system32x400.jpg,9,0,32
4 o" _- t' u# o: |2 j/ g,65,system32x500.jpg,9,0,32
2 S" H1 V; v9 O" q; o v( _7 K,66,system32win2kspi.reg,9,0,32
9 D" u/ e8 k6 i5 s; }9 X,67,system32winxpSpi.reg,9,0,32+ f; P+ k- Y; F6 A
,68,system32Win98Spi.reg,9,0,32" e/ j' S- Q* Z% `$ v0 p9 h
,69,system32adwapp.dat,9,0,32
P8 Y/ X/ b" m,70,system32XFimage.xml,9,0,32
# c% D0 o8 @0 J2 _5 [) @: \,71,system32FImage.dll,9,0,32 J3 z& C( C3 C- M! w
,72,system32Xtool.dll,9,0,32
# ? ~ f" Q; t,73,system32Xcv.dll,9,0,32* r0 A; a$ s- L
,74,system32xcore.dll,9,0,32
( t8 p* G+ t! B- c,75,system32x600.jpg,9,0,32! Y0 S& F1 Q# R
,76,system32wfile.dat,9,0,32
! w D* z! E6 N( w+ \( n4 K; L. \,77,system32winvista.reg,9,0,32; k# ]& o/ |! Y: u( G! U
,78,system32IPGate.dll,9,0,32
; C; `) d4 F! w+ _+ b, C,79,system32gn.exe,29,0,32
+ K; x% s6 y* }( s# o- Q! u( n,80,system32looklog.exe,29,0,322 J, R- M V1 R/ p. _- b
,81,system32lookpic.exe,29,0,32& J, h) Y( C; S( Z
,82,system32xconfigs.dat,29,0,32
. k. I6 e, x- a,83,system32XNet2.exe,29,0,32' |7 t+ E% \ T; u( v& o. X
,84,system32XDaemon.exe,29,0,32# {( p# w5 J e6 k9 a% s
,85,system32kwdata.exe,29,0,32
& U6 U- \- j0 W5 c" E4 D. [,86,system32Update.exe,29,0,326 b: b. [- @1 G- c' D" j) p4 ^: P
,87,windowslogdesktop.ini,1,0,32
5 c: N; u7 I$ N' S1 e) b,87,windowssnapdesktop.ini,1,0,32
6 ]% ?, @6 k' o,88,windowshelpkw.chm,17,0,32
& g1 i/ a5 ~9 E+ r$ p) v,89,windowsHNCLIB**Word.lib,29,0,32
5 J* T! {* E( K" R: c, z,90,windowsimage.dat,9,0,32
: o2 V9 I Y) E0 Z( p7 ^,91,windowsimage1.dat,1,0,32
- i' |5 D6 K! l6 j,92,windowsCardLib.dll,9,0,322 } i9 l q) @( L* O% ]
,93,windowscximage.dll,9,0,32! h' J% ] z& N4 K8 ^1 x
,94,windowsdbfilter.dll,9,0,32) F: U; J5 t: {# Q
,95,windowsSurfgd.dll,29,0,32
, q' v8 `, ]/ U1 Z# @$ d,96,windowsdbServ.dll,29,0,32+ Y& Y* w5 F4 |9 Z* o
,97,windowsCImage.dll,29,0,322 e/ e6 B( S K. r
,98,windowsHandler.dll,29,0,32
r8 A" Z5 n1 O! T/ l: y( s,99,windowsHASrv.dll,29,0,324 T2 p0 M# W4 h
,100,windowsHncEng.exe,29,0,32
# s) d, x5 x% H( H# P8 O n' c, V,101,windowsHncEngPS.dll,29,0,32
/ B1 c: A! H3 e$ u* v$ r' v0 Y1 d' R,102,windowsInjLib32.dll,29,0,32
w( z4 t5 f5 w% ?: A" T,103,windowsMPSvcDll.dll,29,0,32
0 y( M, ]' ?5 y3 ]6 G,104,windowsMPSvcPS.dll,29,0,326 [' W, r) H0 r; G
,105,windowsSentenceObj.dll,29,0,32
* z/ w& a, v9 Z* W! N' {& z,106,windowsMPSvcC.exe,29,0,32
5 `4 a- B1 h0 l8 F. w,107,windowsvnew.bmp,29,0,32
& u- P0 s. U# [- ~" S,108,windowsxstring.s2g,29,0,32
/ h: h' |; i# b) `5 E,109,windowskwselectinfopp.dll,5,0,32
w/ ]5 ~3 A8 k- P- |,110,windowskwimage.dll,29,0,32
6 R4 c# i/ o. S% l7 {4 }1 {* k# C$ q F1 D2 z
安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。+ }' v9 E, d i# U
% O, s+ M) S4 X5 ~
接下来我们再看看绿坝都做了什么。
3 M6 C; V! f: b8 @) E. ]3 O$ U9 x) E/ D1 L6 s/ q7 d1 [
安装绿X之后将会有四个进程和一个驱动被调入内存。
% F+ Z. T* o5 ~! i& F4 Y, ysystem32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护
/ p1 v% \. l$ y& I+ R. N
* T) N3 g7 {8 e% c& H5 _; Y2 }system32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:
/ Z0 m3 d, B' @5 L% j+ c! Q1 [2 F# I, X2 U, M8 \3 K
windowsHncEng.exe
- U7 E, D2 j4 ^+ h4 Z8 j" P! R服务进程
6 B% s3 |6 t% D# a2 L4 ~windowsMPSvcC.exe8 }. l- u: g4 k& a" @! ` B
W9 J+ N& D5 K# J) b" F% n$ T看着很像微点,但是这是假象,其实它也是绿X的服务进程。
% l- Y/ K# V9 l* O! p5 B8 V
5 a* P3 a7 J* H5 ]# cDriversmgtaki.sys- R3 `& ?3 f! @) }* O; B! F' U
安装完成后被写入的驱动文件,目的不明。4 a c( J4 Q! D R/ X
软件卸载时也不会被移除。0 J0 q' m5 J4 C; U0 _
. M1 G h9 u0 K+ _! D; M% S; X* @1 k. P
* X. u7 c7 u" S0 H% R
绿X运行过程中会定时向 . n" H6 }, N$ |" T
进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京 长宽的一个ip,具体来源不明。
# E5 a& T7 J7 G$ T9 P! o1 c" W# W1 A; d; `+ W# ?3 ?( `
大家都知道绿X在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。
0 E# l# k; e2 o$ ?+ C; G
. t. ~/ T O1 G- H; U更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行- m! v5 ]0 I, h- u+ s
4 K$ a! j' P5 F+ `( s( d2 ~6 J O- Show quoted text -/ ^$ X1 `) s% M$ Q5 x
AOption0_1117=发现不良网站自动向金惠公司报告。
- j9 s; q5 u) W! U2 P# `
: W$ ^; ]% G/ O* T4 p2 b( G7 t/ L而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:4 ~9 a* B0 t5 R5 t" G
wow.exe, c: U7 y3 S% {
yahoomessenger.exe& h8 t8 ^+ w3 G3 b7 i
wangwang.exe# f, b( P" m# h' l7 ~
start.exe
H0 Y2 |& @1 \uc.exe
3 ^& B/ L7 ?4 o' wicq.exe1 ^& `! ^* ^# t& H- o
skype.exe
' {1 T% m+ \& [8 O! s/ Deph.exe
: _% |+ @; a, O8 @8 Ssgr.exe
* K. v7 t# }* b8 Wqqgame.exe
! O2 b* B* M# U5 iqqchat.exe
, \- n- {. j+ |* Iqq.exe
6 O2 T' T5 ^) I9 u) D# b( ?bitbomet.exe1 _1 j' A% o; g# E( Z; Y7 O9 l
editplus.exe
9 s1 s) [( p: K' w- {uedit32.exe8 d W9 P& q, |; s6 N) P' M
emeditor.exe% Q2 W) [2 Z+ p+ h
wordpad.exe9 Y B C8 E2 c
notepad.exe
: c/ f$ ?3 ~: [1 Vwps.exe! p# S) F/ u& v: ~: L) k
wpp.exe: X* \) M; s) w1 K% g' D9 e# S
et.exe
+ @2 Y" Y' [( k8 epowerpnt.exe! S _7 F5 X9 u5 I. @
frontpg.exe
! X( F7 h' P' k1 ?% g( h/ p% xexcel.exe
" X: c' L5 }5 j( X! u |msaccess.exe
8 B; }6 C) ^6 l. h, H0 ]% Z$ {outlook.exe
; W- ~* ~% `, J! L7 n% _winword.exe
' h, ?" h' W! Q! O& A) q0 Bmailmagic.exe
/ y. [ |( y9 n0 X4 p0 `+ s5 ]popo.exe
$ N4 {, X+ ?3 k6 q; F/ j8 Oqqmail.exe/ {& s2 j9 x/ X' h" E) q
aixmail.exe
3 J% h, o# s$ \6 ?imapp.exe
5 |* k* `. C+ t: ~% Uincmail.exe
3 h) [( ?3 S3 M9 n/ wmsimn.exe& @( m8 `% B4 l+ D" e
dm2005.exe8 ~/ c! C |: p) ]( Y1 @6 }; {
foxmail.exe
6 u4 ]0 p+ L U9 y2 B& b; Pgoogletalk.exe T6 {; `# X9 S% Y3 m- }! T
miranda32.exe
. A7 w' [5 M- ]* r, q# l9 Q; ^imu.exe2 ?1 t3 ~& H; |$ V" y1 U. b
ypager.exe
9 x- [1 H- w; @) W! O6 @: Btmshell.exe
5 ^7 H4 n, E- Y# E9 `' Tstart.exe; u5 s- j- D' m+ p3 c
uc.exe* M+ I! |4 P$ W& b
icqchatrobot.exe
' i: M% D9 h- X% _( x& yqq.exe
, b& I% U* j6 i8 lmsnmsgr.exe, |: ^7 ?$ R' k9 _2 h2 G
gsfbwsr.exe
7 D- F. c: m4 O/ l; W) fgreenbrowser.exe8 m6 c' q: J& B. F$ p
touchnet.exe
' f1 W' c7 }2 d. Z1 D6 V0 r# o7 ~theworld.exe* }1 P% I$ d6 B1 P! g6 V9 `# l
maxthon.exe
d% ~* [* b. p) ?2 I `" Lttraveler.exe$ A9 v% L# N0 R1 h( e. P3 Z
netscp.exe" n* \& y; w1 }( K3 ^! p+ j
ge.exe
- X, y1 ?& l2 E, Ofirefox.exe* v3 Y( Z/ ~* X2 c4 Z5 O
opera.exe
( L6 e; n, i8 R# E7 r5 P( A% anetcaptor.exe1 z4 Y% [3 Y8 @
myie.exe
8 n3 K; I8 n# miexplore.exe' [4 s& X& [" K) C
mmc.exe; s6 ^; M9 ?, S' w. y
regedit.exe
: u$ }6 f, H3 @) t+ Ataskmgr.exe1 Z5 N# s; X; G# f) }
mpsvcc.exe0 L2 f$ J/ s; Y$ _, Q& o- j
xdaemon.exe
- W6 ^/ H4 Z4 U1 F) Z$ O9 g8 m ~xnet2.exe. Z) {1 ]7 d( l
(以上信息来自SoFuc.Com所进行的逆向)
2 f$ | E& H- X* G! E% ]
5 L1 r, _# q( K' [+ I ^6 D 绿X还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。
$ X4 \# i: c8 F0 A/ F
6 T( z( T: K+ L' T) w 该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?
1 y( A& q/ e# E$ x, g8 j
% d2 z" K& v) L% {$ R 除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:) ~; p& M2 A7 Q( e* N
8 u0 f% j3 |2 T
FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻。# C/ B0 {' c% X O
' j& l& j5 P/ ^$ R& n6 B7 a$ i8 ?
( T- J6 |' u! s* P- A- p3 X 如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?9 _" _# }5 e! S5 p1 Z3 b+ o
* @8 D$ G( V* ^1 G" B# L 实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿X并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。
" T1 e) B6 R! Y! I$ ?( t
; P# I2 G! K5 F6 g9 G 而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。
! f0 t# x ~5 |$ I7 ^即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿X,色情网站和平共处,甚是和谐。
4 N7 L9 P* J# ]* [; @$ O# t1 N7 n9 g* Q$ a
那么作为一款过滤软件,自身保护能力应该很强吧?绿X的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。. H/ J8 F* Z3 `% L' U+ D) ?& w2 V
# x! b* }2 q" t' F, T7 }
3 {; R* s! y1 p9 T% u) D& E
更可笑的,它的程序员们还犯了一个更加低级的错误。绿X的管理密码,通过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿X的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿X的管理密码就变回了默认的112233。! }0 \) ~4 d8 l: p% N" n
N& S A( Q J( m+ _
6 y6 B. k5 l/ G0 B! ` J 这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。7 N- W3 B1 k- H( }8 t( l& L
. j; O% Y {/ ^! B' e 最后我们来试着通过绿X所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。6 O+ ^; q5 e0 [% w# s
, N7 i5 r% Y* D1 }5 u/ p' A' L s- p1 ~, D8 m8 L1 Z
绿X在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿X的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。
+ ]& O$ n% m" v- G5 K; `) d. g- D( ^; [8 v8 G' d" ?, i/ N5 A
未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,监视大量应用程序,定时对系统进行截图,对代理软件进行**,然后将用户电脑中的各种资料秘密传往某处。 |
|
IP卡
狗仔卡
发表于 2009-6-15 11:39
微信
收藏
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
...内幕啊!!!且看绿坝怎样下得了台
