|
|
http://softbbs.pconline.com.cn/10273556.html
% l' d1 z( N# Z( J9 k+ H1 _/ w4 N6 m9 p+ h9 f. L. N) u
1 |6 Q; x+ a% N& U绿X分析报告完整**版!为您解析绿X工作过程
- {* I* X& m4 @' S软件版本为3.177 e- v, J# J4 V: E- u
; d0 A' J; l5 f: ]. M+ Z7 D( \
绿X采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。
1 X1 B0 r* |5 F- v
+ @* v3 h( a/ L/ f. q, a; l- Show quoted text -
* {! Q# E- N# z然后调用该目录下setup.exe开始安装。
( ?3 G& Q3 X b% x) O9 k: m1 ]绿X安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:
' P% J. k) V3 S4 }/ {- J,1,system32RunAfterSetup.exe,9,0,324 v3 G2 y# m, `5 l5 b' L* t
,2,system32sys.dat,9,0,32
: h5 ?! }+ _4 w,3,system32poppo.dll,1,0,32" C; O( e# L' x2 W% y, @$ r
,4,system32sysEx.dat,1,0,32* ~- ~: p3 y3 s9 T- S% D5 X
,5,system32appface.dll,1,0,32
+ m1 A0 R3 R8 X9 b- }1 `" @,6,system32xabout.dat,1,0,32
9 d7 S0 g' T+ E4 M9 b,7,system32x100.dat,1,0,32
" B2 B- i; _' h" ~! R4 l,8,system32x200.dat,1,0,32
) G8 D1 v. I) b" L* A* A,9,system32x300.dat,1,0,32
$ w3 A' ^7 R/ l* |,10,system32x400.dat,1,0,32
& o+ {! u; Z5 q, h* n7 [,11,system32xnet2_lang.ini,9,0,32 R) g; d3 N8 H9 p7 c' \ }9 [
,12,system32bnrfil.dat,1,0,32; |0 d1 X9 o) G; v
,13,system32bsnlst.dat,1,0,32
* C4 |5 R( O0 N$ _4 Z,14,system32csnews.dat,1,0,328 T- I# P- |. V, R) l' y& ^
,15,system32gdwfil.dat,1,0,32
7 M. Q( C- {* ^8 d& R,16,system32TrustUrl.dat,1,0,32
- C' j" o$ h7 m1 _,17,system32wfileu.dat,1,0,32
! ]2 N/ f4 G2 {) K J,18,system32xwordh.dat,1,0,321 y4 p/ q! l. Z9 s* ?. z& H$ Z; A
,19,system32xwordl.dat,1,0,32! f4 T9 w: @( C* t4 k1 W; ~6 V, u
,20,system32xwordm.dat,1,0,32; r8 T! j7 ^2 ?3 P- [
,21,system32auctfil.dat,1,0,32
$ \/ ?) ]% w3 _, Q _. b,22,system32chtfil.dat,1,0,32
; d: ^9 W7 i6 g* t9 V,23,system32cultfil.dat,1,0,32
6 m3 l, o+ k( W9 E) V,24,system32entfil.dat,1,0,32
: p* | s4 {3 C4 q! } F& U,25,system32finfil.dat,1,0,32& _2 P, X5 @* D7 g7 g( w3 A5 W3 M
,26,system32fmfil.dat,1,0,32: ?# m; G% W7 c6 [6 |
,27,system32fshrfil.dat,1,0,32/ q9 j% e- Y! l& L+ g
,28,system32gblfil.dat,1,0,324 i! m( g+ \* L2 \9 _: {% _4 w, Y
,29,system32gnfil.dat,1,0,32
7 X% ~# l- ~' F( Z8 E0 K& c,30,system32hatfil.dat,1,0,32
) h7 U, ~2 H9 o* | I- {,31,system32iawfil.dat,1,0,32
; V, Y$ ~6 {6 r+ O f( U: ~3 x) T0 H,32,system32imgfil.dat,1,0,32( Y l+ N: Z- I! s: \4 S& v2 x/ N
,33,system32jbfil.dat,1,0,32( N, R7 H8 M# o* W5 ?. n, K
,34,system32lgwfil.dat,1,0,32
. F# P$ b( a( s' k# q,35,system32movfil.dat,1,0,32
- W% P$ S% i! d1 P,36,system32mp3fil.dat,1,0,32
/ Y6 u9 X. B- C, R1 p# O% n5 n8 f,37,system32nvgamfil.dat,1,0,32
5 [. h- n, l. g0 r, ?,38,system32perfil.dat,1,0,32
- o$ }9 N/ {9 h) g' {,39,system32picsfil.dat,1,0,32
% }$ \. ?4 {& x+ U* X,40,system32pkmon.dat,1,0,324 A7 z3 x3 e( a
,41,system32popfil.dat,1,0,32
8 r7 r# H$ M6 V# P a1 D$ z, }% b6 k,42,system32psyfil.dat,1,0,32
4 P, h( c# s, {- Y4 K$ C,43,system32sporfil.dat,1,0,320 ~: m, {% N, Y9 @) ~
,44,system32swfil.dat,1,0,32
$ Z' s3 V8 B6 Q) x# ],45,system32tafil.dat,1,0,32
8 Q2 l p. G8 z" F$ M5 X,46,system32tapfil.dat,1,0,324 \1 x' t% N6 c: H9 D- V* z
,47,system32vgamfil.dat,1,0,32
0 S$ Z. S/ S0 R7 s1 V1 L# },48,system32viofil.dat,1,0,32
% b5 W+ q5 S( Q% g9 L: R,49,system32wrestfil.dat,1,0,32
( z i* p5 p5 {) O" T5 K, D- z,50,system32wzfil.dat,1,0,32
f; L' u* v% H,51,system32adwfil.dat,1,0,32 Q! D+ Y5 q+ B
,52,system321.urf,1,0,32$ Y7 L5 x: W- I0 u* u
,53,system322.urf,1,0,32
. J# u3 `7 ?2 G0 U6 F; \,54,system323.urf,1,0,32+ u' _* [% o k# l4 l. o( f
,55,system324.urf,1,0,32
( u0 M# ?8 b# u" U* g,56,system325.urf,1,0,32' B( T6 m+ b. i" p6 k) r
,57,system326.urf,9,0,32
/ Q5 E8 `6 T6 p N,58,system327.urf,9,0,32( k0 e) c) [0 v2 o8 N
,59,system32goldlock.exe,9,0,322 j* @* ~* u& S& Z6 K
,60,system32filtport.dat,9,0,32, J5 y& S4 a* k( z" _9 h
,61,system32x100.jpg,9,0,32
0 K, y- b; ^ c1 N/ F, ^,62,system32x200.jpg,9,0,32" P& w8 h. f3 Q- \( d
,63,system32x300.jpg,9,0,32
/ k. q. R0 L" K. @% @& c: R,64,system32x400.jpg,9,0,32# |. C( H0 L; `7 m4 W6 L1 o, G: g
,65,system32x500.jpg,9,0,32
0 Y2 U: q9 i5 Q e: V,66,system32win2kspi.reg,9,0,320 Y" l* b" T; r
,67,system32winxpSpi.reg,9,0,329 r$ N# z' i* Z
,68,system32Win98Spi.reg,9,0,322 F& \ }2 j# ?# Z" S) O, y! m" H
,69,system32adwapp.dat,9,0,32$ G: @) X+ g" n4 ?# ]
,70,system32XFimage.xml,9,0,32$ N, B: O. L- T% o. {: K( v" W* j
,71,system32FImage.dll,9,0,32' J$ R2 q5 K/ \6 L- I4 @
,72,system32Xtool.dll,9,0,32
: @/ [$ r5 [. @5 D1 q: F0 o: L,73,system32Xcv.dll,9,0,32
( {' Q. c) p; v$ g. J$ I8 [,74,system32xcore.dll,9,0,32
9 ]' D2 J% {. N5 w: G,75,system32x600.jpg,9,0,32& G( `0 Z# f" C$ e1 e0 X5 h4 j
,76,system32wfile.dat,9,0,32+ G5 W/ B! j, K+ o6 u
,77,system32winvista.reg,9,0,32
: c% `9 k4 V4 l2 Q" [ p: s,78,system32IPGate.dll,9,0,325 N4 p8 |4 D" w# _; \
,79,system32gn.exe,29,0,329 D3 L8 Z9 p# p; \5 O
,80,system32looklog.exe,29,0,32: Y+ U+ g+ _/ k
,81,system32lookpic.exe,29,0,32* Z! E. q. C, a3 p2 ]
,82,system32xconfigs.dat,29,0,32& ?/ E- ?+ D3 Z. |, g% Y" g* G# O$ o8 l
,83,system32XNet2.exe,29,0,32
, ~: c% @% R) s ]2 W,84,system32XDaemon.exe,29,0,32
' [- o- _3 h/ T# W,85,system32kwdata.exe,29,0,32
4 u! l8 J. ~ x,86,system32Update.exe,29,0,32
4 s: ~( L0 P- b7 M% w2 _1 o9 M,87,windowslogdesktop.ini,1,0,32
4 {0 A$ G8 R- u7 t: ~) Y9 Z,87,windowssnapdesktop.ini,1,0,32" R* `. X) P) X
,88,windowshelpkw.chm,17,0,32
9 r: A. r7 x- q5 g,89,windowsHNCLIB**Word.lib,29,0,32
3 ^; U2 U8 m6 m9 H9 y9 s,90,windowsimage.dat,9,0,321 B' V8 ~& _" v* G* a
,91,windowsimage1.dat,1,0,32
7 |: E. c3 F" p5 h,92,windowsCardLib.dll,9,0,32
1 e. f/ M6 z. X! [,93,windowscximage.dll,9,0,321 k6 F( l/ i1 t3 S @3 i
,94,windowsdbfilter.dll,9,0,32; ]1 B: V, }! E, g. s! R; K
,95,windowsSurfgd.dll,29,0,32
) N4 }$ R1 ]; b$ T* M. _& Y,96,windowsdbServ.dll,29,0,32+ G4 A% l S/ ~' f \
,97,windowsCImage.dll,29,0,32
9 }1 Y6 u- d/ g. S5 `/ O,98,windowsHandler.dll,29,0,32) _3 a; \. P- R& O
,99,windowsHASrv.dll,29,0,32+ L% K% ?6 P, |6 p5 o2 i1 x
,100,windowsHncEng.exe,29,0,32; Y" h' O, _* X( V9 l! p4 \# L# _
,101,windowsHncEngPS.dll,29,0,32* k' q, Y6 H# a; x) A" |3 N
,102,windowsInjLib32.dll,29,0,32
$ B% P1 e) Q) y$ j7 {. X2 p. S,103,windowsMPSvcDll.dll,29,0,32
4 Q' u2 {2 j: n9 R,104,windowsMPSvcPS.dll,29,0,32
- {& e8 d6 ~' m$ {,105,windowsSentenceObj.dll,29,0,32
$ V1 P( g1 N' z,106,windowsMPSvcC.exe,29,0,32
( b9 G2 n B+ v4 a, f. W3 z6 p,107,windowsvnew.bmp,29,0,32) {+ Q7 ]1 D3 E
,108,windowsxstring.s2g,29,0,32
G- R, h8 k% Q, X,109,windowskwselectinfopp.dll,5,0,32 k$ c* G+ l& E+ x
,110,windowskwimage.dll,29,0,32
" F, E% e; f/ r! o, D9 o( w
+ R# S0 J" n+ p4 `3 O8 ^; V安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。( w9 S& g. ?8 p8 {9 d. E9 ]
; \2 E, v( [( V, [接下来我们再看看绿坝都做了什么。
" \+ T7 k: H; a; \' R2 c: g5 L( ~8 F n9 y" N
安装绿X之后将会有四个进程和一个驱动被调入内存。
# f% W8 {- l+ gsystem32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护$ h1 D5 G! h0 @$ j) y- m
8 C0 M/ O& ^6 w( }# P7 T2 E
system32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:
( W5 u7 K8 L* y; s( D1 U. ~' W# I6 h t% \ i: C- g
windowsHncEng.exe
8 n0 {; e" y! g# k. t5 F( s3 g服务进程
: n* _9 W6 c6 }+ @0 x8 ^' ^) S& Z. FwindowsMPSvcC.exe
% K( v4 k; A7 Y5 ^$ y/ W/ T2 `4 r
看着很像微点,但是这是假象,其实它也是绿X的服务进程。
5 Z6 _# p! F6 D" i' { ~" S
( O. e4 C" o# T8 MDriversmgtaki.sys1 Z( d6 t% F" ~+ P% O) z
安装完成后被写入的驱动文件,目的不明。% p" N7 j) g7 ` W/ W% }
软件卸载时也不会被移除。
! O/ _) d9 T' C, Z `* W9 t- Q
3 R$ Q+ y/ U1 j1 F# n1 o/ Q9 m- W4 N' v {, s, k
8 C& q/ m# l( t+ u5 E6 r% T8 u# j绿X运行过程中会定时向 ; v3 e3 X/ p: e( u- {) H" b H
进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京 长宽的一个ip,具体来源不明。
4 Y8 _1 l2 y$ Y3 J" v+ x6 Q
, w- x0 n% P/ }- W4 N% }* F3 r; w5 m大家都知道绿X在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。6 i7 H9 A8 K8 \0 I, o
2 M: {3 g. ^4 Y# R1 J
更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行/ M( m8 p/ s4 O: F* J8 U
, |* y9 |9 `; p. l
- Show quoted text -1 z' f# f; \0 j
AOption0_1117=发现不良网站自动向金惠公司报告。' o. ~% A' N _2 Q7 O( x2 F( p
, ^5 k' E' s2 {* Z. P% z
而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:# a/ k" S: [2 u! l
wow.exe* o6 t0 G+ o4 q, _5 V2 J) v9 W9 H
yahoomessenger.exe
. h# T9 `+ z: r, |& _/ @! ewangwang.exe0 O6 b: e* |' y' I" E1 _+ \9 v
start.exe6 ^/ |$ x1 r& C% @5 x
uc.exe
+ _0 c* s: D& o1 n) q' @icq.exe: h/ a% [. d2 D0 H6 T
skype.exe3 i P5 e2 }/ h# r$ ? ]( C1 x
eph.exe1 e& ~- v* T. ]3 m" e4 Z4 c
sgr.exe2 j$ C+ n; `/ u7 \7 L n
qqgame.exe
: @ a& h# \+ \+ Zqqchat.exe/ e# C O9 e) R w
qq.exe
: L1 E% D* s% X' Fbitbomet.exe
" O: v( ~% Q8 jeditplus.exe
4 H8 S x$ |) f9 f: luedit32.exe; I4 X& P# J# G: r# {
emeditor.exe
; S5 u8 M" ~0 H+ r+ Bwordpad.exe/ K: q& _& ]3 {+ j+ Y, P
notepad.exe( q5 a9 F3 X# g% r
wps.exe
9 F# F D; l i$ o# M8 o) C( i9 Swpp.exe) d J# e9 z$ o" T/ w
et.exe
9 y* d- K. i- C6 bpowerpnt.exe( O5 p0 o( A( L8 @7 d
frontpg.exe' W; Z- l& d: G4 H! ]! E8 X6 d
excel.exe$ O2 \7 Y& @) b" b
msaccess.exe
5 r. ^3 p; d/ l# Houtlook.exe
4 C, k6 n4 P2 V0 nwinword.exe2 v8 o- V8 `1 X( @% T. h, m
mailmagic.exe$ n% K- r, J% C- I4 G: t
popo.exe1 r8 D6 F4 w5 |3 L
qqmail.exe& O3 K. }) z: X- ?5 x6 k3 [3 o
aixmail.exe6 h9 o* c( w( d; o2 O9 b
imapp.exe% K( P4 T7 u8 y4 U$ \
incmail.exe
! V* W" i4 N5 |+ W" W8 V$ G* y" xmsimn.exe5 h t& T. U5 K6 t7 w' D
dm2005.exe
: c- P" x7 f5 t8 \foxmail.exe
6 H9 F4 s1 j! I$ Tgoogletalk.exe7 b# g' p P! H8 s8 V% a
miranda32.exe
# W1 N1 f1 _3 r; h' ximu.exe; n1 i& |) \3 M/ [, e+ {
ypager.exe- X, S& B% M9 o1 n7 d
tmshell.exe
2 z0 x9 W% l, ystart.exe
! B9 T0 K1 w k+ Suc.exe
" N, m* s! X$ u" d& w# B, ?: Iicqchatrobot.exe
( ^- Q* z1 C' m# qqq.exe# @% K$ T6 K8 p8 y; Y. ?/ p: ?, `
msnmsgr.exe
3 _* F* p7 A, U, N6 q3 R9 Bgsfbwsr.exe
+ A1 z5 @( B, F- Z" Q: x( agreenbrowser.exe' d: {" t' r0 }
touchnet.exe
! ~( a9 J0 n2 q- Q6 otheworld.exe
7 A$ P7 l3 V" m: z3 H5 Dmaxthon.exe
& h4 r0 T. K1 h" _7 k+ Ottraveler.exe% U% O; H# N1 }( z& @: G! Q" Q
netscp.exe
e S# o/ w+ x& R% a9 g2 Age.exe* k4 ]; l% V `$ S
firefox.exe
: t, s3 O1 t6 ^- j, r9 hopera.exe; \/ b x& r: Y5 w1 L* W2 m; N4 V/ y
netcaptor.exe$ M2 ` w1 Y$ L. }- Z
myie.exe
) _5 M x% m2 W6 {iexplore.exe
1 H% k5 P. T1 H& G: t+ x) ommc.exe# ^- S K9 K( ]' ]+ X, T
regedit.exe
* N; |+ N, h- d8 C8 y) y2 Ctaskmgr.exe! b4 H* o5 f# P4 D* s% p
mpsvcc.exe: Z6 a/ F9 K Y$ R3 j" M2 [
xdaemon.exe! E6 u2 e$ T( ]" Z1 t
xnet2.exe/ w5 ?# f5 a8 }1 K
(以上信息来自SoFuc.Com所进行的逆向)
g C4 j& l5 w# }) U4 {3 J# \# r- g' K( u/ |$ t1 D& a9 k
绿X还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。% R. f8 h4 {5 A7 m" W
: C' j3 _' L/ R; z( a' g+ h
该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?
$ Y: ]+ q9 y2 t) F9 p' n4 ]
: u8 V! _# ?. _! [+ R: _ 除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:
9 g3 Q* C y9 S/ j; k4 \5 \( b7 E7 X9 s) }2 b+ h2 c
FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻。
* Q9 U* ~) X1 D2 j7 }" L
& C/ t( @; n* n J. k
& H' v! a* [9 K5 `' C! h7 T 如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?8 n3 k( A6 }$ f0 N" s7 ^" L: R
: k* F* z, W3 @5 |3 k7 P4 ? 实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿X并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。
' C$ b! \* Q3 _) z4 ]
4 Z9 X) c& X& _6 [- x0 L5 G 而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。# S6 s4 B) t/ \) {3 g8 d6 T) E
即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿X,色情网站和平共处,甚是和谐。
3 G8 n' F D6 @0 a) d s( \' a! f) W7 C0 I' K/ n0 @4 I# P# w
那么作为一款过滤软件,自身保护能力应该很强吧?绿X的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。
" c6 |: P" V3 ?) C2 \& V/ c! V* X% V/ c F1 P- ?2 I0 m: H
9 F$ Z) t2 V' l: b! ^1 ` 更可笑的,它的程序员们还犯了一个更加低级的错误。绿X的管理密码,通过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿X的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿X的管理密码就变回了默认的112233。
4 a% V7 k% e% d) N( e7 {5 v( X# K) l4 W9 y$ u
- u5 f- z* Q+ Y: Z0 p 这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。" Y! ]7 o) C* T/ `2 ?- q3 d
4 q; E8 w; j* ?5 T( Q; o* i5 i" f 最后我们来试着通过绿X所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。4 F$ T) c3 ^0 U) b+ O& H- |
( K% L- C- d# U/ v% t: J5 ]
. q3 N+ ]- O5 V8 p
绿X在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿X的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。
# j6 l+ Q4 p) I# D N7 V
/ V' K2 x+ e; H. D& F. { 未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,监视大量应用程序,定时对系统进行截图,对代理软件进行**,然后将用户电脑中的各种资料秘密传往某处。 |
|
IP卡
狗仔卡
发表于 2009-6-15 11:39
微信
收藏
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
...内幕啊!!!且看绿坝怎样下得了台
