|
|
http://softbbs.pconline.com.cn/10273556.html; s. Z4 [. G" ~+ A0 J. F
6 ?7 E4 Y& A( f! N r( q; L4 W
+ ?- {, W. z% p' p* k# m) P7 Q绿X分析报告完整**版!为您解析绿X工作过程5 {+ ]. s( H6 h" B* c8 s
软件版本为3.17
$ a5 z# y: a! z8 M
) _3 `# w9 _; P 绿X采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。
& _' o! z4 a& T& {% S" l$ [, u+ O) \% a# P7 K4 @) J
- Show quoted text -
1 ]7 {4 y) ?8 {5 T然后调用该目录下setup.exe开始安装。
7 _$ O; w% w3 J绿X安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:
3 Q1 p5 S" }0 H6 [ l,1,system32RunAfterSetup.exe,9,0,32
* H7 N- X/ U$ j2 B2 I. E* E, W$ @,2,system32sys.dat,9,0,32
; w- ]9 A! S" \, L6 y; W,3,system32poppo.dll,1,0,32
$ l) _/ w& F \& F0 _( c,4,system32sysEx.dat,1,0,329 w3 @7 G2 E& b9 b6 P9 e2 w
,5,system32appface.dll,1,0,32
: d& X9 H) a5 O4 [,6,system32xabout.dat,1,0,32. [5 ]. Y! h3 o9 \
,7,system32x100.dat,1,0,327 h/ k7 Z3 i; Y$ U! a
,8,system32x200.dat,1,0,327 s" ]/ N$ j! D3 C
,9,system32x300.dat,1,0,32: J& t8 \1 Q$ B- j
,10,system32x400.dat,1,0,32
2 d7 `: A$ n$ @2 s8 |! o& x,11,system32xnet2_lang.ini,9,0,322 c: r# }$ @, L
,12,system32bnrfil.dat,1,0,32
7 |* ^& t5 z0 D8 Y- j5 [! A,13,system32bsnlst.dat,1,0,32# U5 C3 e& m, v% x9 i; {
,14,system32csnews.dat,1,0,325 ^3 J( x, p2 g6 p8 @' F
,15,system32gdwfil.dat,1,0,322 w8 N' J7 c7 Y+ _1 K0 [
,16,system32TrustUrl.dat,1,0,32- q$ i) ?2 i T: B+ B# r
,17,system32wfileu.dat,1,0,32
% H' z6 n+ v4 t2 `0 w,18,system32xwordh.dat,1,0,32
# O% L9 I) h/ Y8 M- s,19,system32xwordl.dat,1,0,32
: w- t+ i7 Y5 Q7 v,20,system32xwordm.dat,1,0,32+ K% R' }5 j# b0 T
,21,system32auctfil.dat,1,0,32
( `0 t1 X8 r D9 i2 n! {,22,system32chtfil.dat,1,0,32( i5 s# P5 d: C ^% u, H
,23,system32cultfil.dat,1,0,32) z( U3 n. o0 u& M( g) I. s6 m6 Z
,24,system32entfil.dat,1,0,32
2 P" W$ E. ]- K6 f$ m,25,system32finfil.dat,1,0,32
# Y) V: M) J3 C9 d3 f+ X6 @,26,system32fmfil.dat,1,0,324 P- W4 j; Q% ]! E4 ? m2 h
,27,system32fshrfil.dat,1,0,32, r; H, ], Y+ _5 q1 g
,28,system32gblfil.dat,1,0,32
, \, i; }/ `# B1 w9 A w% v) M,29,system32gnfil.dat,1,0,32" a/ z/ N; G8 f( i/ g. G4 P
,30,system32hatfil.dat,1,0,32. z* v% X; i) v- Z9 L. F/ a
,31,system32iawfil.dat,1,0,32) p. r/ `/ s( T0 o$ v* ]
,32,system32imgfil.dat,1,0,32# J" h6 `0 Z# h* V" ]
,33,system32jbfil.dat,1,0,32! M V1 n9 m4 N
,34,system32lgwfil.dat,1,0,32
' j; e+ h, D2 |6 o' P; V8 Z; O,35,system32movfil.dat,1,0,327 ^ p, B* \! D- l
,36,system32mp3fil.dat,1,0,32
6 x5 Z1 A. K& p4 Z" L6 Y,37,system32nvgamfil.dat,1,0,322 D8 A; d+ @- B" t1 W6 K6 l! ~2 C, X! x
,38,system32perfil.dat,1,0,326 h# _7 \3 v7 V
,39,system32picsfil.dat,1,0,32/ U7 c! w1 K4 f, {5 U# J" j
,40,system32pkmon.dat,1,0,32 ^( Q- s$ z. G z2 W/ F$ ^
,41,system32popfil.dat,1,0,325 Q3 O2 N' p( q2 ^
,42,system32psyfil.dat,1,0,32
, k+ n+ k: j7 c0 V3 s,43,system32sporfil.dat,1,0,329 \! E5 j4 M3 S, r8 ~5 A
,44,system32swfil.dat,1,0,32
' O# W7 E- i2 F( M4 E,45,system32tafil.dat,1,0,32
. u& H# n# W9 s) M& A,46,system32tapfil.dat,1,0,32! V7 v1 `$ e& @" @5 x5 l
,47,system32vgamfil.dat,1,0,32
% T' K# H, K1 n9 a4 N,48,system32viofil.dat,1,0,32% P( p: L: v+ ]" h& L e4 `
,49,system32wrestfil.dat,1,0,32. X% q* K3 Q- P' ?) c% V
,50,system32wzfil.dat,1,0,32$ w7 L) P8 p7 {
,51,system32adwfil.dat,1,0,32 U1 g8 {0 `: k" i- n7 E2 ]9 ^3 A
,52,system321.urf,1,0,32
! B5 l# N1 p! P$ C,53,system322.urf,1,0,32" t# }9 X$ `& L' e
,54,system323.urf,1,0,32$ k0 b- i( h# w7 [/ s
,55,system324.urf,1,0,322 T1 U0 ^( |7 D+ r
,56,system325.urf,1,0,32
7 e5 K4 _$ N. w% Q" V,57,system326.urf,9,0,32# [) O4 ?& v8 O {+ Z& i
,58,system327.urf,9,0,320 Q" R/ o# c' S9 q: ^
,59,system32goldlock.exe,9,0,32
# a: n& M _4 @) M$ Q6 |5 J* t,60,system32filtport.dat,9,0,327 P! o4 o8 V! A! L7 [
,61,system32x100.jpg,9,0,32
) }+ }: L5 z: _$ B2 ~% P# s,62,system32x200.jpg,9,0,32
$ t+ Y5 z' P( P,63,system32x300.jpg,9,0,32
% E' Q8 D$ U) Z. j& b6 N8 @( x: n,64,system32x400.jpg,9,0,326 V- m4 b' r" Y& w& Y8 f& r7 F% w
,65,system32x500.jpg,9,0,32/ }3 O. r1 C+ X5 F" P* S0 `
,66,system32win2kspi.reg,9,0,320 K5 z0 b- k, G* w1 s! f: g
,67,system32winxpSpi.reg,9,0,325 b& r4 f3 J2 ~5 W& p4 y1 b
,68,system32Win98Spi.reg,9,0,32
1 {' Q0 t$ S8 q/ ~# ~0 Z' t,69,system32adwapp.dat,9,0,32
/ Z; U; C& f! H! p. f,70,system32XFimage.xml,9,0,32# @. w4 p2 S9 C/ J) X
,71,system32FImage.dll,9,0,32
% H. v; \4 y# C3 J, o,72,system32Xtool.dll,9,0,32# N# M7 l9 ^6 J. l" v
,73,system32Xcv.dll,9,0,32 `) J2 `, x4 F4 Y/ H
,74,system32xcore.dll,9,0,32
" `( u2 {" Q }8 ?# s,75,system32x600.jpg,9,0,32
! W9 {& b# K3 s& t: O# A* k7 r,76,system32wfile.dat,9,0,32
2 p/ a3 X: T$ o7 Y4 n) D,77,system32winvista.reg,9,0,32& `) X' A1 F$ ?* ]
,78,system32IPGate.dll,9,0,32
/ |& t2 T$ q/ V- X,79,system32gn.exe,29,0,32
4 T" I% P K7 K; z. h3 ?* b,80,system32looklog.exe,29,0,32
* g7 i" l0 u+ e+ v8 I,81,system32lookpic.exe,29,0,320 e" d+ @" w* H* E
,82,system32xconfigs.dat,29,0,32) `& b5 ^- s& `1 m
,83,system32XNet2.exe,29,0,32+ z3 a, t/ L& }
,84,system32XDaemon.exe,29,0,32
" d$ e; H3 v# g6 k) X/ B,85,system32kwdata.exe,29,0,32* F7 |& h8 z* a" I+ ^! p
,86,system32Update.exe,29,0,32
0 B2 o" b4 u# a9 w! T' k,87,windowslogdesktop.ini,1,0,32
! D/ ]6 ~" h2 w! b$ k,87,windowssnapdesktop.ini,1,0,32
" c$ p. R3 x5 u' R% n,88,windowshelpkw.chm,17,0,32/ Q: u, z& P9 X+ t
,89,windowsHNCLIB**Word.lib,29,0,32 N) @/ M5 T* K0 j* i3 B4 P% P; W1 J
,90,windowsimage.dat,9,0,32
* @* Y# b6 r) O% f5 l+ h) F,91,windowsimage1.dat,1,0,32: g* V$ _% {0 p9 i! D# h; Y Z
,92,windowsCardLib.dll,9,0,32, A% ^& E# Z+ q* l: O* m1 O
,93,windowscximage.dll,9,0,32
' ~% |3 T# t& [& ?& P6 C,94,windowsdbfilter.dll,9,0,327 Y. Y$ X) ~6 ~2 d0 Y6 D7 S8 ~) @: D5 ~
,95,windowsSurfgd.dll,29,0,32
1 f w; G5 X' D# U( q; t: [0 r' D% }2 k,96,windowsdbServ.dll,29,0,32
D* b' V* X* l# [8 ~,97,windowsCImage.dll,29,0,32
0 X! |. g0 s% {: t0 ~; g% f,98,windowsHandler.dll,29,0,32
+ ^4 J$ G7 n) b. a! k Q,99,windowsHASrv.dll,29,0,327 ]& y: s t/ T- e0 k
,100,windowsHncEng.exe,29,0,32
" {3 J( [1 K; Z) m u4 x) F,101,windowsHncEngPS.dll,29,0,32
$ u/ Q; Y, e ^. m9 M5 ~% s# m,102,windowsInjLib32.dll,29,0,325 O& w6 ^; M% z0 |* b3 a% J
,103,windowsMPSvcDll.dll,29,0,32
& h. ?& _; _& y# Y1 c6 G) R,104,windowsMPSvcPS.dll,29,0,32
" m: U0 q( G& p6 r" g,105,windowsSentenceObj.dll,29,0,32
' X" R, b, W# K; v2 S,106,windowsMPSvcC.exe,29,0,32$ y8 a0 G9 [+ Z/ U0 R
,107,windowsvnew.bmp,29,0,32
) o* A/ y' \' z- q7 E,108,windowsxstring.s2g,29,0,32; D4 c3 e! ~6 ~+ Q9 k( D" v/ h" ?
,109,windowskwselectinfopp.dll,5,0,322 D' l1 a- e. h8 ]% F
,110,windowskwimage.dll,29,0,32
& u4 E( \, j: g: K8 y% r+ t2 q
! [+ I3 Q. k; o+ u! n) B4 G安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。! y$ V; Q1 d. |) \5 i0 a- a: e1 v! l/ v
4 U4 {* `) b/ E# Z. ?# D
接下来我们再看看绿坝都做了什么。
3 k, z- e$ b8 w6 _* z. t; [' ]* k% q" g+ L& f! `9 r, p% N
安装绿X之后将会有四个进程和一个驱动被调入内存。
7 d# {( R/ |2 e T. Tsystem32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护: D# w# F' O* H7 F$ W, K& ?
8 W0 E0 b1 @/ U# l
system32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:
( I6 J1 c- b/ A+ r
- z8 R I1 i) pwindowsHncEng.exe
5 g6 i6 e- v4 v, s3 Y服务进程
2 X: ]3 B" M% i t/ s$ _. t8 z+ UwindowsMPSvcC.exe
! @. N7 @. i3 K# P) U
6 q# ?- P, k% T) g5 y看着很像微点,但是这是假象,其实它也是绿X的服务进程。
/ z: C1 N1 |6 Y: y. n# y
9 a; i7 C9 ^6 m) iDriversmgtaki.sys5 d: i6 K, q( t0 A/ ^9 V- }% S/ L1 @4 f
安装完成后被写入的驱动文件,目的不明。% E1 M$ S' b% V, h
软件卸载时也不会被移除。! M5 Z% P$ S/ w
6 e' L, z; D8 d; A, E! [8 s0 B$ \# q2 O* U9 S
: J( `6 [2 V% P3 q3 Y7 K
绿X运行过程中会定时向 & w3 h7 F( x' b' a. @
进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京 长宽的一个ip,具体来源不明。5 ]( z6 e f( x! \5 d6 s! p
5 `" J# g& v# R7 Y
大家都知道绿X在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。
! c0 r" l. a L' S5 M7 I' Z' C" y, {7 O4 d' m* o, u
更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行
3 N1 F& o$ x9 B ?. X/ m( c, A& f4 K8 b3 o: H
- Show quoted text -
% T* [" e# @, U- C! _ gAOption0_1117=发现不良网站自动向金惠公司报告。! j% b* J4 K6 U- n5 J+ n/ {
. ^1 T$ A& u; {- w6 S% m
而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:
. l6 n+ ? W$ Y& D- D: ~* awow.exe% S! W) a( S# x$ i1 N$ C
yahoomessenger.exe
% O2 J: X7 c) j. Z: H+ ]: Wwangwang.exe2 d0 ~1 M- [9 g; X
start.exe" T% [+ q1 g# I) Q6 r8 F
uc.exe
( p( Q( D9 b* _7 K# jicq.exe
- ~2 @5 t2 ~$ Mskype.exe ]/ P5 h: q Z! U1 s8 L- M I
eph.exe
! b( C1 {9 `: T& }sgr.exe+ N5 Y. B Z" r. y- s# S
qqgame.exe4 O+ G: I% R; r7 U
qqchat.exe
2 ~2 ^7 \+ A3 e! O7 |qq.exe
& A" [0 W+ H; y, j8 Jbitbomet.exe% a; h0 c3 z, e2 m5 Y& d) ^
editplus.exe
5 O5 q' U8 y4 a' Luedit32.exe
4 B& ^- t! e. |0 A- Nemeditor.exe3 r: T I9 @4 u5 k2 X2 F0 U
wordpad.exe* B, X; m6 I R5 p
notepad.exe
0 m" q4 N b4 K4 L1 H+ D: t; Zwps.exe, v- f6 y- ^8 V( u9 R9 q4 r+ Z
wpp.exe
3 `$ i9 P% I4 a4 t: Cet.exe
' S& d8 k/ }' g) ]& i vpowerpnt.exe
3 |$ q. z% P, z& M. m* G! A$ [frontpg.exe) e* O- M& _. D% d9 F, {+ t/ T
excel.exe
% O; z$ f6 v& l# }3 }msaccess.exe
9 u* q7 `/ ^! |, Aoutlook.exe/ H* R# j& g ^3 u
winword.exe
7 P2 b% U) ^. C/ q5 c7 xmailmagic.exe
) m/ `/ ]4 W% Y" n' {9 p. lpopo.exe9 M4 T9 ] D- L/ H3 p9 B
qqmail.exe2 W4 b' d; J, \) a0 R$ g4 l
aixmail.exe
1 _7 @. w: Y* a! n8 I' M& gimapp.exe& }+ R+ {5 d+ x5 M3 R6 w1 ~
incmail.exe7 q! D0 }' m4 k5 w2 x3 P
msimn.exe
4 G3 r* _9 [# u0 cdm2005.exe
6 u) _ y$ ^% I/ \: E8 S" Ofoxmail.exe$ H! Z8 Q; c/ L6 N4 M3 x5 W
googletalk.exe- C+ e8 B/ c" W6 i
miranda32.exe
5 h6 R5 [" O: X6 t" Wimu.exe3 [2 J8 i% P, P8 t
ypager.exe
# P5 T' A D5 q+ a {! etmshell.exe8 j6 w" w- Z0 y: o7 g, O
start.exe& a5 X5 F; H ^' C v+ n$ W
uc.exe
% @9 }, N6 L' z6 _icqchatrobot.exe2 g4 [) p8 b6 c; a! J2 S {
qq.exe
* c) U" x2 w7 w2 pmsnmsgr.exe
/ F7 R0 J( M Q% H8 I/ Y/ r0 Mgsfbwsr.exe
) d# `0 ]7 l j, o3 Bgreenbrowser.exe
! ?) r" F; v( f" g, c- Mtouchnet.exe
- x& s" Q- J5 [5 Q% D& Ytheworld.exe1 X' J+ w: _* I9 y6 ~
maxthon.exe
1 C" T4 n1 P* _' Tttraveler.exe
( L; Z& p7 }" E' T0 e! znetscp.exe+ t0 S; m! K* {0 s9 y5 L- k# [7 e
ge.exe
# D7 g" e8 j6 O: ]! p- ?firefox.exe
# `3 p- U# C& z5 ?! T1 B2 h. D8 O5 w5 w3 eopera.exe
9 b9 L, C/ L O" A! L d" [netcaptor.exe
3 F* U, ] W |2 | Kmyie.exe
6 Z0 l/ @% s" i% |: Iiexplore.exe0 k4 Z, ]: p) d$ a
mmc.exe/ D0 Z' ~: _; |& p9 d: C+ p
regedit.exe
. v6 N6 Z9 n2 V# I/ Staskmgr.exe
/ z3 j2 Z4 D. J; W* P2 Ympsvcc.exe& x7 K# X- ]: k. f' K
xdaemon.exe5 ?2 d4 `$ X2 X8 {3 D
xnet2.exe
7 K' y$ C4 E3 _* ^' I x(以上信息来自SoFuc.Com所进行的逆向)# N0 f+ M% J" N6 Z7 R
7 s T/ S% J7 D& n7 |+ D6 H; S* ^
绿X还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。% O G9 I R+ C2 @ R3 v8 s8 z
) k/ @+ L! P, ^0 \
该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?4 ]/ H4 Y5 \7 U& V3 M
$ n, L* V$ y0 M! a1 l; E) } 除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:
( S7 t8 X2 W7 _
) q) r% ?. | O FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻。) @9 `1 y8 {- | |
( ]: m( t% ?! r- B' x0 Z
8 B4 S. p" r& |9 K8 v 如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?% C+ ]3 F, {9 I, [, R8 h
0 }, ]4 J8 m' ~0 w# i" a
实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿X并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。7 o& ?. E8 ?' m% N
/ C0 J6 t/ [5 v
而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。
0 @& u( Q) J5 z, ~$ ?即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿X,色情网站和平共处,甚是和谐。
: l7 d5 S! X- l9 F# I( a/ N; M+ n( e5 _% p. m6 ?
那么作为一款过滤软件,自身保护能力应该很强吧?绿X的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。
* s. J1 S& c% n0 }8 L" }3 ^+ _' w8 R( i# j8 ~$ M" Y4 A
+ {3 _' E6 Q4 G/ O
更可笑的,它的程序员们还犯了一个更加低级的错误。绿X的管理密码,通过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿X的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿X的管理密码就变回了默认的112233。
, e+ t" A& A0 m+ _8 g) J3 Z6 |/ M* F, e
9 X; v4 |. j! m) O/ {# v
这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。
, R" y- d* ^' Z2 E$ c1 n1 |5 Z& d; `9 E8 F& p, m6 Q# _
最后我们来试着通过绿X所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。: N# Q q( r5 i& T% I! K0 i* T
. f; v# a* R2 r$ u V4 Z9 x: |/ N: k+ N
绿X在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿X的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。
- f) I" C6 z) P: h& J1 i$ y8 Y. L' |8 G, q' W; ~/ L
未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,监视大量应用程序,定时对系统进行截图,对代理软件进行**,然后将用户电脑中的各种资料秘密传往某处。 |
|
IP卡
狗仔卡
发表于 2009-6-15 11:39
微信
收藏
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
...内幕啊!!!且看绿坝怎样下得了台
