|
|
http://softbbs.pconline.com.cn/10273556.html/ _5 g* F2 T( x# [; J+ J7 h
3 f# o A% Z' Z, L/ u: K
i$ t5 u2 F; @7 C; M1 q: P绿X分析报告完整**版!为您解析绿X工作过程
% A, k# |7 o. ~. m, Z. x' ^软件版本为3.172 T6 W6 u$ J7 p5 i: k S
( H* M8 U5 }7 Q/ Q) E/ ?: Z' Q
绿X采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。' ^8 b- I; e" q% b8 U, l4 _
* T6 q7 `& M3 C
- Show quoted text -
% i( c6 g7 w8 w' {* U然后调用该目录下setup.exe开始安装。( n1 J' R! t. ?/ m2 Y( A j) W
绿X安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:2 C @7 o) D' ?0 A/ S ^
,1,system32RunAfterSetup.exe,9,0,32
- N, l0 U; x# a. s,2,system32sys.dat,9,0,32" b# |7 I: p1 r0 R; l3 x
,3,system32poppo.dll,1,0,32
! W* ~2 Z6 o+ V0 t+ Y4 |2 K2 _,4,system32sysEx.dat,1,0,325 [+ t7 G/ V. P' `
,5,system32appface.dll,1,0,32
* B, H' Y2 W8 G8 F' z7 p1 _,6,system32xabout.dat,1,0,32
I& B/ P |1 w- A,7,system32x100.dat,1,0,32
) t+ C+ |$ c! x, M,8,system32x200.dat,1,0,32/ p! l0 h/ y) |3 z, _) l. R
,9,system32x300.dat,1,0,32
5 E' n+ V" w8 N" r# T4 q; Y,10,system32x400.dat,1,0,327 ?5 x$ K9 `+ |7 ?5 A
,11,system32xnet2_lang.ini,9,0,32
8 j8 P, o7 F: O3 ^,12,system32bnrfil.dat,1,0,32
2 z7 j9 Y: W/ y3 c$ S6 b- l,13,system32bsnlst.dat,1,0,32* L9 C2 g0 N5 l! |, o7 C# r
,14,system32csnews.dat,1,0,32+ x. g( O, k1 E }
,15,system32gdwfil.dat,1,0,32' U1 k) F' ]( _9 m, y
,16,system32TrustUrl.dat,1,0,32& ?9 }$ i! {# A* u- j: z6 L
,17,system32wfileu.dat,1,0,32
" t; v! \9 _4 Q0 I,18,system32xwordh.dat,1,0,32! q" D6 ~& p c- N
,19,system32xwordl.dat,1,0,32
4 I, F: ?* F5 m1 H" g,20,system32xwordm.dat,1,0,32
/ v6 h6 q8 N* c) p% [: n4 ^,21,system32auctfil.dat,1,0,329 ~6 H1 H% |- S% ?
,22,system32chtfil.dat,1,0,32
' B" L- D9 ~' L; @,23,system32cultfil.dat,1,0,32* f& I% |& S# V1 j: b
,24,system32entfil.dat,1,0,32
7 q# L9 [! |% q) l6 \,25,system32finfil.dat,1,0,32
, ?- G9 E. q, L3 a/ C- ~; k2 A,26,system32fmfil.dat,1,0,32
+ B+ J8 C" k6 i& Y9 i8 r,27,system32fshrfil.dat,1,0,322 J$ c- H) j1 K, I @# R! m9 m
,28,system32gblfil.dat,1,0,32
7 H: d. f+ x+ k,29,system32gnfil.dat,1,0,32
Y& G. V$ X, Y! B6 z, |" u,30,system32hatfil.dat,1,0,323 n# M, \/ U+ ?7 I4 p" y
,31,system32iawfil.dat,1,0,32
: y" d# x5 u3 L( V$ F' Z/ e,32,system32imgfil.dat,1,0,32
4 a, ]# e& L3 ]/ w,33,system32jbfil.dat,1,0,32
# J2 ~+ ~% E: e s v,34,system32lgwfil.dat,1,0,32
/ }5 V. @. l3 O& c2 E# v,35,system32movfil.dat,1,0,32' o l6 ]' n! s5 [) @9 ~5 X) y
,36,system32mp3fil.dat,1,0,321 E4 C. j1 e; Z( d0 k3 N
,37,system32nvgamfil.dat,1,0,32
9 P# ^( P9 q" J* j$ Y,38,system32perfil.dat,1,0,32
l( u7 o% c+ \$ ?2 q3 N! D,39,system32picsfil.dat,1,0,32 D8 E K3 q r
,40,system32pkmon.dat,1,0,32
: `1 u/ ^+ I% o6 m,41,system32popfil.dat,1,0,32
, q( Q$ i" H, u& }7 p1 q,42,system32psyfil.dat,1,0,32
" j" ~1 b3 R0 x* _' K, s,43,system32sporfil.dat,1,0,32- o; U$ F+ u& p, k0 n* R" Q7 B
,44,system32swfil.dat,1,0,32/ t& s9 ]' \; f6 h7 e% Z: s
,45,system32tafil.dat,1,0,32! A9 W1 o9 `0 X1 o& J
,46,system32tapfil.dat,1,0,32
# Z0 B8 s' c. O n. I+ b) p,47,system32vgamfil.dat,1,0,32
/ S N! ~/ Q1 d3 @5 x; `5 _,48,system32viofil.dat,1,0,32
9 O% H% w" ~; X8 S! E! `% y,49,system32wrestfil.dat,1,0,327 Q6 L9 d) X1 _
,50,system32wzfil.dat,1,0,32
3 b# P( U- q. \% `) _( X# Z,51,system32adwfil.dat,1,0,32
$ @, Z2 S- c9 L7 y. u. L% d) b,52,system321.urf,1,0,32
: } D. Z' S) d7 V- x,53,system322.urf,1,0,32; t4 L3 S4 \: N7 g( ]
,54,system323.urf,1,0,32
, m- v4 B2 d" S# r5 O,55,system324.urf,1,0,32( L4 X: v; j- ~6 N& M
,56,system325.urf,1,0,32
% U/ L: f( g1 p4 G0 E( k,57,system326.urf,9,0,32
/ M2 e" H9 q; J& [- L5 ?; a' G,58,system327.urf,9,0,32. z5 j, @1 y- h9 s
,59,system32goldlock.exe,9,0,32: q) y* `, O6 u" K
,60,system32filtport.dat,9,0,32
9 o( f/ {. O% ^: a9 A8 @,61,system32x100.jpg,9,0,32- o! Q0 ?' s/ U1 [6 J
,62,system32x200.jpg,9,0,32
. O! u7 Y6 z3 ^! P! K,63,system32x300.jpg,9,0,32
& R# w( t2 U6 J4 c8 B,64,system32x400.jpg,9,0,32
; Q6 s8 Y; t N,65,system32x500.jpg,9,0,32
8 U M. E7 X9 ^4 q" r$ P N9 P/ t% \$ ~,66,system32win2kspi.reg,9,0,32$ y3 k# _) I2 W3 @' B/ x4 Z
,67,system32winxpSpi.reg,9,0,32% N9 C* \8 {; s2 H" n
,68,system32Win98Spi.reg,9,0,322 {! p' R* G' x; i X
,69,system32adwapp.dat,9,0,32
. E$ ~2 ~; P/ |5 e) Z+ T,70,system32XFimage.xml,9,0,327 p- t1 _/ {0 O* L" Y
,71,system32FImage.dll,9,0,32. ]. X" p5 R$ f; h( e1 Z$ ^* P. F% H; e
,72,system32Xtool.dll,9,0,32. b4 f) d+ {' n3 w
,73,system32Xcv.dll,9,0,326 _" K3 r/ h! l9 Y7 C, T
,74,system32xcore.dll,9,0,327 G: l" A1 I" l8 v! S$ h- ]) j. t
,75,system32x600.jpg,9,0,321 p2 ~0 P) D. v: i: L1 i5 C
,76,system32wfile.dat,9,0,32
1 Y* J. [ ~, A8 D; r/ l' p% l,77,system32winvista.reg,9,0,326 p/ _+ Y2 V/ G* l0 Y
,78,system32IPGate.dll,9,0,326 [' v J Q$ O4 f: J2 _ z
,79,system32gn.exe,29,0,32( @" d% |+ B' }( P) z
,80,system32looklog.exe,29,0,32
/ R) B4 w1 Y T,81,system32lookpic.exe,29,0,323 \7 Y, {# ^5 v, c3 I$ s$ s3 A6 s
,82,system32xconfigs.dat,29,0,32
7 G& D; B0 b, t,83,system32XNet2.exe,29,0,32# S& K. D8 g" `7 q; }. C
,84,system32XDaemon.exe,29,0,329 c# E2 h* E. B. K* E. Z' n
,85,system32kwdata.exe,29,0,32
+ C% f# f. H# M6 C7 n) l,86,system32Update.exe,29,0,32. J# H0 l+ t" f. J) E; t# N7 C$ x
,87,windowslogdesktop.ini,1,0,32( r( c0 g* N; Q7 w* Z
,87,windowssnapdesktop.ini,1,0,329 q5 p( d$ p/ N& w
,88,windowshelpkw.chm,17,0,32) U; {: l5 |5 d* Z) R
,89,windowsHNCLIB**Word.lib,29,0,32
4 l1 V" Y2 P3 v7 o! e,90,windowsimage.dat,9,0,32" t; @2 s% f% k& I
,91,windowsimage1.dat,1,0,321 m% U- w i4 p7 x+ z Q& u
,92,windowsCardLib.dll,9,0,32
3 K. y9 Z" ^7 f* D& Y,93,windowscximage.dll,9,0,324 A: j/ E: c6 Y7 L2 l
,94,windowsdbfilter.dll,9,0,32
$ ~! K y- |8 D1 D* N/ k,95,windowsSurfgd.dll,29,0,32
* S# a K# u# ^,96,windowsdbServ.dll,29,0,32$ r* p8 @* n% c
,97,windowsCImage.dll,29,0,32
: Y# d- }4 G6 y5 T8 y* l,98,windowsHandler.dll,29,0,32
3 z% O8 ?% B. ?5 P) [,99,windowsHASrv.dll,29,0,32; T6 L4 L1 r! x
,100,windowsHncEng.exe,29,0,32; R- p8 C6 ]( C: B4 L! K
,101,windowsHncEngPS.dll,29,0,32
; z% T( Y8 {, j4 c" l9 x,102,windowsInjLib32.dll,29,0,32
- [7 v, ]7 K+ v5 m y" f+ h,103,windowsMPSvcDll.dll,29,0,323 w! n+ D) ]5 b5 N3 ^8 V8 g+ l
,104,windowsMPSvcPS.dll,29,0,32
8 ?' @. C" g" v* D$ c5 }, },105,windowsSentenceObj.dll,29,0,32, B6 n( ^6 P% v* x* L
,106,windowsMPSvcC.exe,29,0,32/ v% A( f) [; I8 j) y5 L
,107,windowsvnew.bmp,29,0,32( f0 J3 N6 Y6 f" o- z4 s
,108,windowsxstring.s2g,29,0,32
9 ]4 f. p: @/ n! T. X8 c" c& F0 `* c,109,windowskwselectinfopp.dll,5,0,32
! V; Y% b# p( {, [, x0 [,110,windowskwimage.dll,29,0,32$ \" ]: T9 I7 z% ?+ q/ Y! I
6 S: C# e! h$ p- R$ M9 _: f% ^3 C安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。& ?9 p4 f" v: p9 g9 R! X
0 x# d& T' q; T! {6 C) K" v接下来我们再看看绿坝都做了什么。
9 N W0 f5 y# J! S& K2 W3 P+ S
; _! l/ K& f. W% [, J% ]安装绿X之后将会有四个进程和一个驱动被调入内存。
" s4 m$ Q0 }. l2 @+ k3 F d4 ]system32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护- ]$ r i4 [8 J8 @$ k( v1 C8 J$ T
" S7 `2 w4 S( _ h! X
system32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:
. t( w6 l5 J: E1 v+ _8 j+ h/ ?( w4 S' `9 O
windowsHncEng.exe3 D, Q% W/ X9 d* ~7 B& W
服务进程
) h- r6 `2 m) T5 ewindowsMPSvcC.exe
+ C7 v# c5 O- _) g) ]& p" k
% e0 Z) y- L& \3 d7 c+ p0 R4 j; L( z) x看着很像微点,但是这是假象,其实它也是绿X的服务进程。
, R! w3 r* T. ?8 G
* F. q& H) m6 T) e6 M; ADriversmgtaki.sys, Y' L' c$ B7 Z0 ^6 F
安装完成后被写入的驱动文件,目的不明。( }' H. d# K1 f# T. U
软件卸载时也不会被移除。
5 D. U8 t' h# Q- |$ Y
7 r3 a) P2 y- x: L# r
8 D) L* I/ L5 e$ I) i3 q6 ~( W" s8 U W* w, f" n L
绿X运行过程中会定时向
; p U1 p) G o [ S" u进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京 长宽的一个ip,具体来源不明。
6 D) |- @ O8 R
* f. \* c G3 P3 O大家都知道绿X在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。; L5 o# W! L: M( N
5 x1 l$ m2 G) p8 g9 f5 B8 y
更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行, M# V4 A" h. @% m( I& O, H: }
9 r8 p6 ]6 G# c. M- Show quoted text -
& K; A7 [2 H# i- m# ?/ [4 }2 ]; oAOption0_1117=发现不良网站自动向金惠公司报告。
4 I N& E2 @1 [* ~7 g3 B
5 h5 k" Z% D/ d& } O$ w; s3 F5 D而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:
) H/ j: |1 F/ O8 S, I% s; _wow.exe/ C- o. Y( {8 `8 j2 F+ G
yahoomessenger.exe
" L% k6 s6 j/ \wangwang.exe$ N f, F+ K" ~9 A7 S# B _
start.exe6 y# O3 {' k' `0 `. G: l
uc.exe
/ G5 S& `& f; Z% \! M4 Ticq.exe3 h4 \ u; j1 L: u$ o) T" Z
skype.exe
# t |! o. }% I) L8 b2 E4 ^8 Ieph.exe2 X" |! D5 d( P4 d8 J5 ^& U4 Z8 x
sgr.exe- _0 I+ z8 O0 G
qqgame.exe
2 y5 e$ b/ g1 `# E& p/ Kqqchat.exe5 k, z6 N: c3 w' g8 x" N- _. o
qq.exe
% M4 \8 I$ x6 f B1 S. Bbitbomet.exe9 {0 _" X) E, m3 l5 y. o! D
editplus.exe2 h+ e& M3 V* m8 D" y$ e4 r- C
uedit32.exe* |5 X0 S7 p1 `* j: D
emeditor.exe
. A- m$ D+ j% Twordpad.exe ]& C; F2 b8 t) W) T, O2 b
notepad.exe
" L* l- x( |- o; Cwps.exe8 F/ p6 d+ r$ r2 F
wpp.exe, N2 C6 E, B5 K* c
et.exe6 t; r. w+ L3 A: O# X- N& L
powerpnt.exe" k1 r8 n) Q/ P) N
frontpg.exe n5 i* f1 [# ?& r5 W. g
excel.exe
0 g$ s* s6 F2 C! ]4 i7 ^msaccess.exe/ M+ }9 ]+ T: m' W+ t
outlook.exe! H; C& @! \: Q6 ^1 I
winword.exe
) G. c- l6 k/ p. d& tmailmagic.exe
) ?1 O0 `7 ]% ]+ j- B Ypopo.exe7 J* O e8 x* G0 ]; ~
qqmail.exe
6 ^. ?* c% D, J0 o1 maixmail.exe5 H! P5 o" v8 q0 ?# K. a; j: G: u
imapp.exe ]6 o" F* l: Z7 c# z
incmail.exe. M+ f( h8 l/ f$ s
msimn.exe
4 l# @9 a* W, mdm2005.exe
/ \0 w T0 k2 V) h8 ~& e8 pfoxmail.exe
: @, c1 m) c; S: q* f# J X* s$ Wgoogletalk.exe
; F* \$ [; C2 x" l6 K, K! _. wmiranda32.exe* [7 s, ~4 t# o' A3 u
imu.exe
6 T& e6 l- e' |- lypager.exe& X" ~& ~) f: d B" _. W( B5 {
tmshell.exe
" a4 L n& X$ J" hstart.exe6 L8 H. ^4 S6 Z/ H8 e6 L1 J2 A
uc.exe
: {, S) d/ \3 G, M/ j, p/ bicqchatrobot.exe5 ] Z3 P3 J( o2 a& t
qq.exe; A/ S6 ?: B- M: Y+ W9 N& }# i
msnmsgr.exe
$ {6 j) I: u' W0 tgsfbwsr.exe
- R& L, {' a" i& E k; W0 u# S9 Qgreenbrowser.exe6 W# |) `) K, G1 W% y
touchnet.exe, Y; e' {3 L* a# a0 x" M r% B, y
theworld.exe
# q+ q8 M# \* G0 b/ u: F) o4 j r" }maxthon.exe
5 ]. ]8 O3 _" \# u5 N$ J+ {ttraveler.exe" \0 x k% n' m+ @$ Q
netscp.exe
) b, _9 I- V3 @/ B- Ige.exe9 L" { Y( r! n
firefox.exe8 e0 D9 N) N. L- j
opera.exe; }7 n( L4 l. H: d0 {
netcaptor.exe
/ D. _. O* m$ j. z: Cmyie.exe
G( S+ U# P1 x& Yiexplore.exe8 t& Q$ `+ N. A
mmc.exe
+ \; k! y b$ U' oregedit.exe+ U1 v7 T+ t) g' t+ p D
taskmgr.exe
/ n/ R$ O5 Y% Y5 Ampsvcc.exe
* A9 V7 @1 c" x# p4 txdaemon.exe1 v* W [& |7 q8 Q9 B
xnet2.exe/ k0 ~7 v9 C5 z) ]: X
(以上信息来自SoFuc.Com所进行的逆向)
! {* S7 Q2 x6 o9 b
# r, V# B5 \3 B& [: N0 c 绿X还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。 \# |* |6 q" f( \* k3 _1 |) K
4 ]' k6 \' ?, r# c8 N 该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?
- d8 ?/ e* O' x7 l% K' Z: z) I8 a% k& k9 v6 G
除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:, V; `; I/ d' @& l# G8 U( D" A
' Q' e; ?/ E3 ~& |+ W9 I
FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻。
- C3 u& @$ e) E9 w. A2 F1 [1 x* W, P$ U& t# D4 W+ Z( `
1 @3 a! Q# m- \- o, b) `) R 如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?$ g- ^9 J+ M6 j, \
7 p! a7 ^' n' E4 A
实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿X并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。
6 v. d9 P2 W9 g) E
) W k6 t# s0 G9 M/ ^: I& u5 R* D7 X 而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。
6 ~' X( S# j+ E" p即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿X,色情网站和平共处,甚是和谐。! J. J+ O# f2 X1 E3 h/ E
) z c, g& {' Z, H* W 那么作为一款过滤软件,自身保护能力应该很强吧?绿X的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。2 V4 z8 h9 s! ]- m( |. c/ ~- S
5 [( n" M1 X( M4 j' j
: E8 C' o y) n0 V7 ~1 f- i8 S" g9 t
更可笑的,它的程序员们还犯了一个更加低级的错误。绿X的管理密码,通过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿X的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿X的管理密码就变回了默认的112233。6 y- o B# H$ A' q, `
5 k" [3 q1 f5 h) w& \
" U5 G, d7 A; U {) e& W) v- V 这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。9 @4 o( S" [5 Y! ^ k& l* l% q+ F# Y
; j( c( Z) n5 }3 q 最后我们来试着通过绿X所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。9 b* E" V6 B$ d: u4 m6 l2 `, y
0 {0 I6 {; @, ~$ h
3 l/ ?& v* Q- W! W' l3 R
绿X在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿X的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。 z0 U- H% N0 \8 n4 N: h
- R+ h+ `& i8 _
未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,监视大量应用程序,定时对系统进行截图,对代理软件进行**,然后将用户电脑中的各种资料秘密传往某处。 |
|
IP卡
狗仔卡
发表于 2009-6-15 11:39
微信
收藏
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
...内幕啊!!!且看绿坝怎样下得了台
