|
|
http://softbbs.pconline.com.cn/10273556.html
* g4 Q2 G, L( D* J6 a( ~1 V) r! V: b" R, Y5 b
b3 H; ` }0 i) V$ C; Y" W1 f
绿X分析报告完整**版!为您解析绿X工作过程( x0 U B; Q( o/ w+ h1 F
软件版本为3.17; w- j- l' V' ~* H4 X
' M4 @& Q5 U2 T$ \; s% B
绿X采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。$ a$ ]7 w0 k5 P' y. _
) b. T. ]8 g' l' B, G/ x
- Show quoted text -5 {6 s6 q; O; O a* a- d' H
然后调用该目录下setup.exe开始安装。
J0 Y0 S5 `) k. |绿X安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:
1 Q) l3 C5 p6 p5 _% p0 [1 @4 `+ V,1,system32RunAfterSetup.exe,9,0,32
3 g6 O/ s$ z5 _) F,2,system32sys.dat,9,0,32
' n) Z" B5 A) e4 u,3,system32poppo.dll,1,0,32
, R- y N9 W: R) @( S$ N9 u& |,4,system32sysEx.dat,1,0,324 H% o8 {' g3 H# i
,5,system32appface.dll,1,0,32
) q! ?/ N/ ~; J,6,system32xabout.dat,1,0,32: u4 t( E+ c4 s9 d0 @ c4 v2 ~: N
,7,system32x100.dat,1,0,32
- j8 G1 n( Q; v: u% p* h' k' A,8,system32x200.dat,1,0,32* _2 d4 @) Z# C- g0 o7 A
,9,system32x300.dat,1,0,32
9 c- y2 ]8 F$ U1 X,10,system32x400.dat,1,0,32
) m; x% ]2 h I0 c( R' x1 G5 k,11,system32xnet2_lang.ini,9,0,32/ l3 f9 V3 T3 O! v& b. H9 [3 H
,12,system32bnrfil.dat,1,0,32- a) L& ]# G/ c% U2 |
,13,system32bsnlst.dat,1,0,32- Z/ i, ~2 v" }# V/ b- d
,14,system32csnews.dat,1,0,329 _! X5 t* T" u+ @
,15,system32gdwfil.dat,1,0,32
6 j- Z/ j- d0 f w- r3 ?1 R; M; i X,16,system32TrustUrl.dat,1,0,32
, _0 ?5 z2 u+ u" a+ \. ~,17,system32wfileu.dat,1,0,32
3 J* H, t) |6 F, b* ^/ ?' ]6 q$ S,18,system32xwordh.dat,1,0,32+ }$ z7 ?! Y/ V$ H0 [4 a
,19,system32xwordl.dat,1,0,32
' z' s% n* a! B9 a; P$ U7 l8 ? s,20,system32xwordm.dat,1,0,32* j, r$ W7 B/ G5 C
,21,system32auctfil.dat,1,0,32
6 Y! U. p5 a7 ~) j7 {, [,22,system32chtfil.dat,1,0,32
# O' `) u8 Y: [ E- d' }$ \,23,system32cultfil.dat,1,0,32
6 g3 R \, w0 b/ s,24,system32entfil.dat,1,0,32+ p& T; w- H/ y) k2 K7 n
,25,system32finfil.dat,1,0,324 T9 v, G- j: W0 x) V7 x
,26,system32fmfil.dat,1,0,32
% |- O7 ?( ~. x$ A' v( i1 r,27,system32fshrfil.dat,1,0,32$ U( ?+ A& x$ D2 g
,28,system32gblfil.dat,1,0,320 y J0 Q) Y9 f/ G! g# }
,29,system32gnfil.dat,1,0,32
( B5 h6 F. o- X+ O$ I, ?, R7 C,30,system32hatfil.dat,1,0,32
, C+ k' V) q, @+ @6 Z' M,31,system32iawfil.dat,1,0,32' a# K5 h U5 Y/ _' H" p
,32,system32imgfil.dat,1,0,32$ ^5 u5 O2 G* |5 D
,33,system32jbfil.dat,1,0,326 { ^' f4 k& I4 v- s& t- P
,34,system32lgwfil.dat,1,0,32
2 x" f0 W% ?4 ^6 y: R# V2 [& p,35,system32movfil.dat,1,0,329 h! ]; s2 ]2 H( r1 s7 Y4 r5 n
,36,system32mp3fil.dat,1,0,32
+ B4 w* k7 B' ?- Y2 L,37,system32nvgamfil.dat,1,0,32; t; P' i6 m7 n( L* X
,38,system32perfil.dat,1,0,329 v# j* Q2 g! K, L" m! `3 w) ~* ^
,39,system32picsfil.dat,1,0,32
) b8 P! d$ E q. X,40,system32pkmon.dat,1,0,32" A* m5 q% r# q+ a; f; g' N. G
,41,system32popfil.dat,1,0,32
$ K& m2 N5 O6 R,42,system32psyfil.dat,1,0,32
* Z) {% {: \5 m; D,43,system32sporfil.dat,1,0,32
7 f B, j1 X/ E,44,system32swfil.dat,1,0,32
c4 G$ M: u* J1 |) w- T; C z,45,system32tafil.dat,1,0,325 h, O- G, J: k! L- }5 j
,46,system32tapfil.dat,1,0,32
# f5 w3 x+ Z/ a7 H& [$ |, j,47,system32vgamfil.dat,1,0,32/ S; \, V: t3 n) T' f$ G" ?# t2 J7 [
,48,system32viofil.dat,1,0,32; @) ]" @ V1 V
,49,system32wrestfil.dat,1,0,32! Y" K2 d' e7 y5 s
,50,system32wzfil.dat,1,0,32
% a3 ]1 j/ @0 ?$ H1 g5 h,51,system32adwfil.dat,1,0,32( L: k9 z% l, T& \# ?
,52,system321.urf,1,0,323 h5 d" }# E0 G; {+ V
,53,system322.urf,1,0,323 I0 L( y. G- I5 ^' N7 t$ o
,54,system323.urf,1,0,32
$ F& X7 Q! S' I; T,55,system324.urf,1,0,32; g( k5 z, h8 G& p: n3 w
,56,system325.urf,1,0,32$ T/ h; {7 _9 J: R* Q
,57,system326.urf,9,0,32
7 L$ n0 Q2 G/ z9 E,58,system327.urf,9,0,322 L2 \5 o" D% @) g% T" y' W
,59,system32goldlock.exe,9,0,32; A8 S! c" w' J7 S' r" u
,60,system32filtport.dat,9,0,32
* I T1 w6 M' f+ Z0 V,61,system32x100.jpg,9,0,327 k0 d6 T" I' r0 X; A3 |" b, |
,62,system32x200.jpg,9,0,328 @ J+ T' K" c$ |$ f
,63,system32x300.jpg,9,0,32# a S1 k1 e4 F5 f* Z- g, _
,64,system32x400.jpg,9,0,32
! V7 w. W6 F- J+ r, \* |9 A,65,system32x500.jpg,9,0,32/ [: z4 a' ^" e- w. ~
,66,system32win2kspi.reg,9,0,32
+ o; v1 |1 q o1 E7 J,67,system32winxpSpi.reg,9,0,32. t; L) A/ I7 Q, W
,68,system32Win98Spi.reg,9,0,32
9 l& V: q# Z2 f,69,system32adwapp.dat,9,0,32
& ~9 a% T' N: ]7 F! D5 p, U/ G,70,system32XFimage.xml,9,0,32
+ s6 ]( W( @& _0 }. _& t: \,71,system32FImage.dll,9,0,323 j {! X! a+ V& w, R0 l8 }
,72,system32Xtool.dll,9,0,323 l; ]# u8 Q* F, F; r! l
,73,system32Xcv.dll,9,0,32$ Q" v4 X) [% j$ y. d* A2 I
,74,system32xcore.dll,9,0,329 h/ y! N+ K7 D9 o
,75,system32x600.jpg,9,0,322 g! Q: S: i) U& s
,76,system32wfile.dat,9,0,32
- }, r: I: L9 r; M! Z,77,system32winvista.reg,9,0,32
9 E- x' w2 [1 q$ j3 ^,78,system32IPGate.dll,9,0,324 v! X9 T5 ^6 ^* O
,79,system32gn.exe,29,0,321 B/ D; m1 h, V. k! c/ s' R# K
,80,system32looklog.exe,29,0,32- b3 w8 X$ `" n) \
,81,system32lookpic.exe,29,0,329 ~; d( M- f: v+ k& W5 @
,82,system32xconfigs.dat,29,0,32
+ P+ m3 ?( f' G' g2 R# }3 j" S,83,system32XNet2.exe,29,0,32
" p1 T4 w. y( z2 ^& j& H- J7 h,84,system32XDaemon.exe,29,0,32: V5 a8 \1 m5 o+ A; Y" A
,85,system32kwdata.exe,29,0,32) p# |$ x( F* d3 _6 U( C
,86,system32Update.exe,29,0,32
/ A' S) ?, D- u% }$ f,87,windowslogdesktop.ini,1,0,329 W% e) ?. n" ^2 L0 i
,87,windowssnapdesktop.ini,1,0,32
1 H5 n! q- T) @# v,88,windowshelpkw.chm,17,0,32$ ]3 r- r4 i5 A' Q5 P* V! ]% `
,89,windowsHNCLIB**Word.lib,29,0,32
8 ]9 {5 I( g0 G$ Y+ l* l4 `,90,windowsimage.dat,9,0,326 V Y4 h. M2 U* ]2 v D: V8 o' @
,91,windowsimage1.dat,1,0,32
5 B+ f" V' _2 O2 u, W,92,windowsCardLib.dll,9,0,32, }" r5 T2 C" Q* S. I
,93,windowscximage.dll,9,0,32' M2 L- B( O; n9 |: J
,94,windowsdbfilter.dll,9,0,32
' q% s1 s6 k. k: X; W1 p- F,95,windowsSurfgd.dll,29,0,32( o5 z" C9 T+ B' H* q& P% ^" T
,96,windowsdbServ.dll,29,0,32( Z- P% f: Z- w: D
,97,windowsCImage.dll,29,0,32
; \! [# h2 M/ ],98,windowsHandler.dll,29,0,327 z# e8 j" t% s4 A7 R9 P
,99,windowsHASrv.dll,29,0,32
% ^7 f9 N; i6 Z+ c% O,100,windowsHncEng.exe,29,0,32
$ I" q$ i/ W; ]4 ]1 V f: K0 {,101,windowsHncEngPS.dll,29,0,32
0 |2 F; [ {' q- R,102,windowsInjLib32.dll,29,0,32
6 s, R' ^' y; z. T,103,windowsMPSvcDll.dll,29,0,32
2 y! G( t' P l8 A5 J6 V,104,windowsMPSvcPS.dll,29,0,32
4 n1 T' ^1 T' ?* p0 e/ q( t,105,windowsSentenceObj.dll,29,0,32; e3 \8 B+ U" l# @3 p8 T1 f# o
,106,windowsMPSvcC.exe,29,0,32/ m1 C8 p% ?: d8 P4 o
,107,windowsvnew.bmp,29,0,32
^+ B" d" F% E2 O,108,windowsxstring.s2g,29,0,32
8 X6 \" b7 }9 p,109,windowskwselectinfopp.dll,5,0,32
5 A0 C; e/ n. Z. I,110,windowskwimage.dll,29,0,32
" m9 J) K; ^3 g) n# b) q; Z) [+ y6 p
安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。% F$ H$ A' U* h6 Q, U3 i
6 U _0 l' g. S1 l# a9 u3 J接下来我们再看看绿坝都做了什么。
! }+ ^) `- d% P# K- Y
n" k4 u, {1 e+ _1 |4 g安装绿X之后将会有四个进程和一个驱动被调入内存。2 ~* d7 x0 Y2 \$ d2 f
system32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护
2 R: ~1 C* F' _6 q6 o+ m' X4 b. h: p; v6 g
system32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:/ d: D f, T6 [! n, @4 L& `
; M# B9 J) A! v7 R' k) wwindowsHncEng.exe
q/ ]' s; n0 V9 q7 ]; Y6 |) Y; ~服务进程
: q% J3 _! ~+ e: [2 }& v: y% c# qwindowsMPSvcC.exe
% f% j$ D; i7 t$ z; V
9 @) P, u8 ?8 ?- P. ^看着很像微点,但是这是假象,其实它也是绿X的服务进程。* s8 Z, D) o) A+ s- D/ N
# K- ?& ]: [' H1 `
Driversmgtaki.sys" u! O, \1 s8 A) H% a! R
安装完成后被写入的驱动文件,目的不明。1 S8 v+ g1 m4 Z& h O! ^6 o9 `% E
软件卸载时也不会被移除。
% L% k! L3 b& H- N! i# ^7 x
, L# F7 L( R) { T. O- g! o) r6 s0 l9 ` s) i7 H9 V$ H
& |5 b0 K% ?/ E; l+ |" f绿X运行过程中会定时向
. G- k2 r0 z& f$ o, z# V# _进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京 长宽的一个ip,具体来源不明。
2 S1 g- w% ^3 @% q
# m' G3 h; w% [9 R# [7 O# p大家都知道绿X在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。
7 {8 {" k2 h. p0 J: K+ _ ~, E/ s( R2 v$ m) L6 j8 n
更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行
$ l! ?8 z- s% J2 i2 \! r! v
/ K) C0 y; o- I- Show quoted text -
$ D( u( z; s' y# ^AOption0_1117=发现不良网站自动向金惠公司报告。
- Z" S$ ~) A/ w3 j) J; B4 C3 l" D& R O$ J% M) _
而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:
3 c0 ]5 R1 h: O/ T# [wow.exe
! ~+ Q" q) q* r* S) ]yahoomessenger.exe
' i* j0 J- w+ l% S9 G I; X6 lwangwang.exe
8 D$ G5 I. T: ~9 a/ s r4 L' Pstart.exe1 [$ y! w3 C: H! @3 o" @# X5 S. D
uc.exe
- d L1 f" N; {8 x7 e; E. U) p6 X# _icq.exe) g- j3 `. U. e1 P
skype.exe( K2 l% r: _. |4 V& m3 K+ s; T7 q) Y3 A
eph.exe
" w( r; b6 x% \4 X p0 Usgr.exe* S% v k5 J6 z7 C \
qqgame.exe5 N9 n: w! {2 k3 T3 |& E
qqchat.exe5 Q; f, ]6 l/ C8 v* n. j: I
qq.exe$ O D/ J& @# S* x5 R' S+ A
bitbomet.exe) R+ ^6 E8 V6 C% o0 p& F P
editplus.exe
- Y: J6 U' V; v( A1 ?uedit32.exe
% P' G/ Z4 I/ {- ?emeditor.exe. ?/ \: y* D) L7 p* f% p- C/ [
wordpad.exe! {4 c: {- o! |
notepad.exe @* _2 [' \" k0 G q9 C2 V! ~
wps.exe- h9 p- N2 O9 `- A6 I5 n7 p8 f
wpp.exe
" l# B2 A8 Q/ L% c( p; j6 ket.exe$ }9 R- q# M% Y7 e+ L0 `2 [
powerpnt.exe
2 G+ d8 e9 A- u) v( S% Yfrontpg.exe
: o3 T1 m, }3 O: a( C. E0 `& x; Nexcel.exe
6 W! A0 A; N& lmsaccess.exe0 \+ ]2 N& U( O8 I0 J
outlook.exe
+ B7 D* z/ C! r- `. A4 cwinword.exe
/ ] p5 W9 I q% vmailmagic.exe& X3 @$ l, r9 l
popo.exe
& m7 w9 t% l$ o- mqqmail.exe+ z {, I4 x, {% S0 r
aixmail.exe+ b' s7 B& t$ h; d+ Q" z1 [" p8 @
imapp.exe& G; e, n1 E1 L
incmail.exe
" S0 B! ]! t% b/ ]msimn.exe/ d7 L7 v, t2 g- e& P
dm2005.exe% l9 g# W0 }/ H& ?7 p. }( M! |
foxmail.exe
1 B; K9 P% L# d! O5 L& egoogletalk.exe
. S( A# b# A U' A6 I2 H+ K" ]7 Nmiranda32.exe( E9 ?8 I$ ]0 l" ^; U3 ]( X# [$ O) ~
imu.exe
% D' B% \' K% o! k' S" e& {ypager.exe
) Y! c0 A: `. K* ktmshell.exe1 P6 f. q9 Z( q4 ^$ z$ c* e" O1 h& `3 x
start.exe
4 C( y) Z9 P, w" _uc.exe) [, z3 h# P9 ^7 Q. J: e
icqchatrobot.exe( o2 o y: n9 _/ k
qq.exe4 h; ?# u+ P o" S
msnmsgr.exe
$ x8 A* R2 g; I. g. p* P3 `gsfbwsr.exe5 u) T( Z1 _$ ?. Y
greenbrowser.exe# r) G2 F9 a7 K
touchnet.exe' N G( F3 ~+ z
theworld.exe
- n$ @" [# y' v$ j7 a' J& N1 u, `9 kmaxthon.exe
" X8 b+ o5 d) I( c; t: Zttraveler.exe
4 H: G7 X- o# e' bnetscp.exe
; J) @/ n$ ?+ P5 b2 Bge.exe- A6 l2 M# }0 s; H7 ]* t& x
firefox.exe1 B4 W, R5 R$ @, E1 |1 ?
opera.exe
# O' g1 ~3 @2 f9 Y) ]' Wnetcaptor.exe: @( X: i- w& t* r
myie.exe! U1 L8 f% L* Y- f# D. }
iexplore.exe
" W2 r" x, I* Ommc.exe
3 z7 |( d1 ^+ eregedit.exe
, M, P; V) n2 m; Rtaskmgr.exe& Z. s, Q( e" o& W
mpsvcc.exe: X m/ j: Y, y7 y, t2 @
xdaemon.exe# F3 S5 S8 q- x2 ]' e7 E0 Z5 A
xnet2.exe
! K w; z# p! P% b6 f(以上信息来自SoFuc.Com所进行的逆向)
/ Y' }8 L& a2 f6 ]$ |% n. _( V! D% l) H& E% G& C
绿X还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。# Z4 i( W6 G: t1 M$ N
2 a, S5 d `+ ^1 g) k
该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?$ o! }; o P# S
7 K! H% R" i( [% b$ K3 e4 u: p) C( N
除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:
, Z6 G c* b* o8 _
( A5 |# n3 X$ [ FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻。
) r$ X3 ]0 f* {
+ _ Z5 R% p0 ~1 O
6 a: Q6 r$ n4 d, C/ y% E2 N 如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?
) B; }" Y6 [4 Y% l5 i
! L5 a- d$ q7 Q7 v& ]0 Q/ B7 s# V 实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿X并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。6 z/ P( g( e; L' K& ^! ~
) _" m# }$ `" d/ Y2 U# Z
而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。1 M' ~! K' y6 Z+ n
即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿X,色情网站和平共处,甚是和谐。$ ?% D& ]+ V0 d5 m/ z2 g8 H# U+ _
* h+ J3 _; Y% F! J0 U 那么作为一款过滤软件,自身保护能力应该很强吧?绿X的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。
* O) W S% E9 H5 @( d
- S8 @% h& e$ Y, @1 |$ A- l3 b3 B* x- q! `
更可笑的,它的程序员们还犯了一个更加低级的错误。绿X的管理密码,通过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿X的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿X的管理密码就变回了默认的112233。
- r) b* F2 |8 h9 Y* c0 F4 Q0 T9 @% m) h5 |: ^
' X3 R5 e" z. q6 g, q3 f
这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。: ^- V1 E9 h! d. |3 i+ K7 w
" C" ]8 H4 `: u. D8 T0 u
最后我们来试着通过绿X所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。0 Z, @- k- K! F9 n, X, _
$ J( `/ U& C% L( C- h
/ n3 f; e: ]. B) @' V7 h% d 绿X在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿X的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。8 h. W! a! _* e& x: a
1 S; P; B- l0 G' T. ~5 ~ 未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,监视大量应用程序,定时对系统进行截图,对代理软件进行**,然后将用户电脑中的各种资料秘密传往某处。 |
|
IP卡
狗仔卡
发表于 2009-6-15 11:39
微信
收藏
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
...内幕啊!!!且看绿坝怎样下得了台
