|
|
http://softbbs.pconline.com.cn/10273556.html& p# s# o# A I- z
2 c0 I% x) ?$ w3 j$ b: V& m( |$ e8 @- X& B4 [# n5 Z# m( x
绿X分析报告完整**版!为您解析绿X工作过程3 o8 ]5 s" c+ E1 V! C* h" v: A
软件版本为3.178 o1 P: n: ]$ F# R
* G# y8 P$ Z/ a2 h# O: D: E: M
绿X采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。
+ r3 [7 e. D0 \
1 v' H n `- u0 V! Z6 D* U0 h- Show quoted text -0 o( h) U R/ p) r
然后调用该目录下setup.exe开始安装。
: w ]% j# x) N4 b6 z绿X安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:
) g# l6 d+ k, l,1,system32RunAfterSetup.exe,9,0,32
' p! b% |: F+ j+ T. E,2,system32sys.dat,9,0,32
N: p0 I. G+ m) n,3,system32poppo.dll,1,0,32
- r. C+ ^$ d1 p9 _,4,system32sysEx.dat,1,0,32
' x; y G0 Q* q,5,system32appface.dll,1,0,32
7 _# Z! J) L j7 k: M" B,6,system32xabout.dat,1,0,32
; p9 w* w% {/ I& G$ ^7 N! ?8 u+ T,7,system32x100.dat,1,0,32
4 H, c4 m( t4 ~! S,8,system32x200.dat,1,0,322 Q4 X5 d% Z0 S4 ^: D
,9,system32x300.dat,1,0,32
# z5 d$ a; s- s" ~8 x8 |3 E,10,system32x400.dat,1,0,32
$ ~# q. Y8 D, M* F/ D,11,system32xnet2_lang.ini,9,0,32& u3 d3 ?) l0 h8 t$ `+ Z
,12,system32bnrfil.dat,1,0,32
) T7 w( ?" z2 T4 `; N1 D( M,13,system32bsnlst.dat,1,0,32
( r0 ~9 L4 g0 O8 L' z6 V,14,system32csnews.dat,1,0,329 W8 B E4 o/ }! c# d- P& R3 h, o
,15,system32gdwfil.dat,1,0,32; z8 i4 {# A9 ^2 \- b2 b1 i# z
,16,system32TrustUrl.dat,1,0,329 r Z2 O0 m+ s; e) F
,17,system32wfileu.dat,1,0,32
& P; s( \! Z; t( a,18,system32xwordh.dat,1,0,32! P! D" [; l9 o/ q. r# p! Q6 j
,19,system32xwordl.dat,1,0,32; M" T+ h( D# K6 g% S9 I
,20,system32xwordm.dat,1,0,32
) m. I8 B: w2 B9 ]( B,21,system32auctfil.dat,1,0,324 S0 ?! {: n Z3 I$ B- S
,22,system32chtfil.dat,1,0,32
# _ B# {/ X Z7 V,23,system32cultfil.dat,1,0,32
- d x, s4 z0 ?; x! {,24,system32entfil.dat,1,0,32
3 `' S/ F2 {# p* y: y/ \, Q4 e0 F,25,system32finfil.dat,1,0,325 l9 m8 K( }4 z* f
,26,system32fmfil.dat,1,0,32' z+ K3 \' s0 v) g# w9 X
,27,system32fshrfil.dat,1,0,32
; G1 o2 h F3 v4 r4 ]) ~3 \,28,system32gblfil.dat,1,0,32
6 g8 l+ P( v0 R$ D,29,system32gnfil.dat,1,0,32 {2 E/ }0 i* O1 a" }
,30,system32hatfil.dat,1,0,32
- G) ? a' {" ~0 j% c; S,31,system32iawfil.dat,1,0,32! c+ M9 {8 r3 X6 F% {
,32,system32imgfil.dat,1,0,32
]. s$ P) F. `) M( V,33,system32jbfil.dat,1,0,32
8 ` s* \1 O2 H( G,34,system32lgwfil.dat,1,0,32
; X) [4 C0 U; c/ j0 q4 Z,35,system32movfil.dat,1,0,32/ D/ m! O( N" N! R$ `1 n. x
,36,system32mp3fil.dat,1,0,329 `9 e5 Z0 G! b1 o3 D
,37,system32nvgamfil.dat,1,0,32
) P& s8 u2 q/ i+ m( D# w$ |" U,38,system32perfil.dat,1,0,32/ E8 n b* \) v, x
,39,system32picsfil.dat,1,0,327 X* X, _5 v9 l% Q2 x- }! u, z {4 Z& o
,40,system32pkmon.dat,1,0,32
* c, u0 C( g$ [8 M0 f,41,system32popfil.dat,1,0,327 y# Q ] _7 c1 L( g! y' ~7 ?
,42,system32psyfil.dat,1,0,32( C$ j! t7 F$ i6 E8 L* S0 A
,43,system32sporfil.dat,1,0,32: y; C* ?& \. X) {
,44,system32swfil.dat,1,0,32) ?2 K; {, w: B) @2 t' G
,45,system32tafil.dat,1,0,32
+ l% _+ B; ]) {# O9 T0 {,46,system32tapfil.dat,1,0,32
& S7 \# U1 p) o4 S Y [# u$ g$ r, S,47,system32vgamfil.dat,1,0,32, |% m( q3 ~' d0 n7 o" V
,48,system32viofil.dat,1,0,329 B5 O i# ]' c( ?' m/ k( T- L
,49,system32wrestfil.dat,1,0,32" y: p) i. p5 W9 ~
,50,system32wzfil.dat,1,0,32
: s- n. a% i A! Y,51,system32adwfil.dat,1,0,32+ i- `- w+ Q, v
,52,system321.urf,1,0,32
$ D- `; n$ Q3 A& C5 j4 d,53,system322.urf,1,0,32' C$ [. |' o5 f' H4 Y4 C
,54,system323.urf,1,0,32
1 T" s1 m0 N% y/ X1 V) K0 j% s" S,55,system324.urf,1,0,32) p: k& j* M: A8 q2 @( D/ X
,56,system325.urf,1,0,32
# T/ v( G1 \% L6 y% r,57,system326.urf,9,0,32
7 H! _' A4 ~" y# k- Q7 {* U: H' n$ @2 H,58,system327.urf,9,0,32
# C$ p& x5 N0 h' e, @1 @7 i' S,59,system32goldlock.exe,9,0,32
. k# o; B; ?# F% K9 k,60,system32filtport.dat,9,0,32
& m& j% s4 _: d6 Y2 u* u; d7 b2 d,61,system32x100.jpg,9,0,32: o6 p& K/ n7 i# l" w8 n8 }2 \( O
,62,system32x200.jpg,9,0,32$ J. U& u0 ~: A( _. f
,63,system32x300.jpg,9,0,32
, D) F; e7 r3 \/ R/ E9 s$ E,64,system32x400.jpg,9,0,32$ I' @% v# J" ~. [8 J
,65,system32x500.jpg,9,0,32; @8 L) u! d, V+ {, L* r
,66,system32win2kspi.reg,9,0,32# `. @) Z8 E& u' x \" I
,67,system32winxpSpi.reg,9,0,32% g2 R5 w" a& B S* U: z
,68,system32Win98Spi.reg,9,0,32
- o9 ^. t/ Z+ ]. w9 O0 W/ U0 z$ Z& j,69,system32adwapp.dat,9,0,32# [* Y6 U" @1 a: H! }4 t4 B6 U) E
,70,system32XFimage.xml,9,0,32, S8 t5 x( R) d* G7 ~
,71,system32FImage.dll,9,0,32. c- J/ b- q e( H6 a
,72,system32Xtool.dll,9,0,320 g K8 Z* S6 W7 K# F
,73,system32Xcv.dll,9,0,32. |0 v: A- S$ n( z# E3 _ H2 G+ g. p
,74,system32xcore.dll,9,0,32 i( |% c: e* ~, h
,75,system32x600.jpg,9,0,32
a n, u' {1 z# k" |,76,system32wfile.dat,9,0,328 J- w0 a" F4 ^! P n$ B% d
,77,system32winvista.reg,9,0,323 ^0 t/ |8 }! M; g% | f3 w' @; C: _
,78,system32IPGate.dll,9,0,326 Q/ z9 _- w3 D$ p `8 Q$ u
,79,system32gn.exe,29,0,32- B. _! g( Y$ V# B1 E' c. z
,80,system32looklog.exe,29,0,32
' U. B# D% V. V5 e% Z e,81,system32lookpic.exe,29,0,322 c! Z9 t$ W- y% g! P
,82,system32xconfigs.dat,29,0,32( l& W% [ ]2 c, R4 j" ] }
,83,system32XNet2.exe,29,0,32: j5 J1 ]5 [& Q/ e0 O2 E0 ^
,84,system32XDaemon.exe,29,0,32/ s% p, E' O& Z( I }
,85,system32kwdata.exe,29,0,32
% J7 \9 ?9 C/ ~# @ R% q: s,86,system32Update.exe,29,0,32
" j% `+ M# ~) G, z# ^$ _* t,87,windowslogdesktop.ini,1,0,32
: ?& r- W) P# D* x4 H,87,windowssnapdesktop.ini,1,0,32
% G- @; e9 y& d+ d$ ],88,windowshelpkw.chm,17,0,32( J3 E" u6 I3 e, p
,89,windowsHNCLIB**Word.lib,29,0,329 o' ]4 I; r3 x- F5 S2 L7 _( _5 i
,90,windowsimage.dat,9,0,32% U0 W4 s% ?- n/ K* z1 j1 c6 O5 y
,91,windowsimage1.dat,1,0,32
: C6 U T8 i( M; c,92,windowsCardLib.dll,9,0,32( C7 I z# f, g4 @- f
,93,windowscximage.dll,9,0,32
4 Z9 J3 p/ }) z2 S3 M0 V,94,windowsdbfilter.dll,9,0,32* K4 L: p6 Q; `1 Z+ }9 @: O* q3 m
,95,windowsSurfgd.dll,29,0,32
# V1 d! K- C! }; F) ?( w,96,windowsdbServ.dll,29,0,32
, W1 F) J: d9 k4 x5 L m% V,97,windowsCImage.dll,29,0,32
" T K6 v3 n. f D,98,windowsHandler.dll,29,0,323 b! i8 B- Y+ A; m: B+ `
,99,windowsHASrv.dll,29,0,324 Z! V/ ]9 r, k; W) [" f1 D o
,100,windowsHncEng.exe,29,0,322 v7 M" q! I- Z% R" p: g
,101,windowsHncEngPS.dll,29,0,326 R+ Z/ A& O6 r8 i
,102,windowsInjLib32.dll,29,0,32
{) h+ k% A: ]7 c# @; W,103,windowsMPSvcDll.dll,29,0,32
B$ u8 g. F2 A7 U,104,windowsMPSvcPS.dll,29,0,32
( O) q: B I: O3 Y k2 j# k# K,105,windowsSentenceObj.dll,29,0,32
L( R8 m1 c: I1 T4 Y4 v,106,windowsMPSvcC.exe,29,0,32- T* `8 y: ]; J% p; ]3 v
,107,windowsvnew.bmp,29,0,32
- n) X& z, z J: a- r,108,windowsxstring.s2g,29,0,32
/ a" p* v; L `,109,windowskwselectinfopp.dll,5,0,32
$ U D8 E) w: u7 B7 o" J,110,windowskwimage.dll,29,0,32
9 t4 o( G3 T7 D* X. \. {4 v# f
$ w3 a+ _8 P+ w" j: H9 _安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。
2 U9 `3 `6 L$ s/ {0 G. S1 ?& r" L' T% w6 T) p7 O* N
接下来我们再看看绿坝都做了什么。) O* l! K3 V2 l
& N2 A: k) T8 W% {: S
安装绿X之后将会有四个进程和一个驱动被调入内存。: x7 h2 m$ C$ _8 e& t
system32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护# j* t$ c& D' I
# ^' C' }2 `, L/ [3 Isystem32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:
0 ?- t0 g2 S- I6 T- O8 y) J6 [7 G8 k; h P0 X7 X
windowsHncEng.exe
! I: t6 D1 P& R( e服务进程. c" t' ^ I9 J: l9 J( ^5 L* l
windowsMPSvcC.exe& R& Z3 z# m f' K Y' z, E. L
7 T4 c$ K+ t0 C+ g0 E5 E看着很像微点,但是这是假象,其实它也是绿X的服务进程。
" H" W8 G% h2 N$ a2 J6 A6 _ g0 y- @
Driversmgtaki.sys
) P) q( Y; a8 j9 B, e& N% f$ F; S* l安装完成后被写入的驱动文件,目的不明。
" p, F& f# x- N- ?; }2 L: f" d5 N软件卸载时也不会被移除。
0 M/ |" c) _' n$ ~2 W' L& e& R! L9 A' ?9 `
( ^8 R- ^8 e5 t: S. v( k, S( p; @6 c8 C" V
绿X运行过程中会定时向
# H* c& z' E4 o( h, Q进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京 长宽的一个ip,具体来源不明。
4 z; @, v% C7 w! i7 T& U( P8 B. ~1 Y$ _2 E3 e# B, X9 o! o R
大家都知道绿X在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。" h" I$ }, p1 H" [3 s
3 v( N4 \6 I5 ~' E' j" o
更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行
0 r! y& E& r$ u1 }6 }$ i4 z8 W5 U% |& W& H2 M2 L" ~! Y
- Show quoted text -4 O8 z6 T, G" j4 E
AOption0_1117=发现不良网站自动向金惠公司报告。
K$ g# u$ l+ w- @( y U6 f* V$ {
而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:
) w" a& X# A% ]: B% S4 j i: Qwow.exe2 n5 ^: o* Z9 H9 v7 r* c4 `7 Q
yahoomessenger.exe
' |3 n' Y! _3 H4 [/ b3 q! Nwangwang.exe: J6 F$ Z# g' ]) q: o
start.exe
9 l5 W7 t7 B. W* n! Nuc.exe
" M7 o4 ^8 c9 ~icq.exe0 c3 y; Z' o# z/ v& G9 \
skype.exe
. l. {4 j( m! v) \0 U% q1 c! F4 Keph.exe0 C5 }" L8 L. c+ {7 x) s4 W8 s3 {
sgr.exe
4 N7 Q. n" v: ^2 h% Xqqgame.exe& i4 L/ S/ I) J
qqchat.exe
+ c) m- P7 L2 b8 v( A( c5 iqq.exe( z/ n0 e3 j& ]% q8 P% ~
bitbomet.exe
( N! P/ G8 X2 _) s9 y: z- Yeditplus.exe
* {* J# f' }" N4 N- i- }6 Wuedit32.exe' t6 A* K0 k; s6 W3 h0 o& J
emeditor.exe
/ F+ e. C1 l. V: kwordpad.exe/ w; L1 w( T3 S! Y
notepad.exe
' V8 c, t% p8 Fwps.exe0 w1 |& s; d' h! t
wpp.exe
. l1 ?) q) F) Det.exe- u0 j9 `! Y6 j, N# J
powerpnt.exe9 i6 z$ @7 b* w+ e4 Z0 v
frontpg.exe
4 a% Q0 U/ {/ d8 T6 j7 \excel.exe
( k2 K( x ^0 R* Pmsaccess.exe! M: p7 ], X4 U7 U
outlook.exe
+ \5 C' o5 G( `" m% ]! _9 M0 hwinword.exe0 m6 n2 _, U; b* Q$ L- n5 q: c2 X2 r
mailmagic.exe, j9 b& B0 h9 F1 o5 u+ F
popo.exe
! T& O! D& t0 s0 F: k+ a/ c- Eqqmail.exe
- v& K' ?3 G, Laixmail.exe' z* B- t) |. t I1 I
imapp.exe! B7 R) T z. s9 Q ^
incmail.exe
7 S) b. L- M# N7 d" D) @: G+ x9 M: imsimn.exe) }) ~- ^( W" \" W
dm2005.exe$ e0 L: O) x% u- F7 p/ }
foxmail.exe2 Q" u; x) o S( z
googletalk.exe
( |! v% Z3 B) w# v5 W+ @miranda32.exe+ @6 F$ G( N6 I d2 f% F- V% u
imu.exe1 N& _- A& N) J! e, i8 _) O
ypager.exe
- c; I1 ?5 N) v/ C7 vtmshell.exe
" y. p. z+ a- Bstart.exe$ a% ?/ [8 w0 c( a
uc.exe
" b3 G( i$ I+ Q5 @icqchatrobot.exe
/ t2 v% f, A( e& ~qq.exe: b3 q3 r; q' Y% z1 W( K/ B9 T
msnmsgr.exe
( f2 E% x' u9 w" ]7 \gsfbwsr.exe
* \7 m2 s; N# X, n! Qgreenbrowser.exe- C" G0 } u' U' d* Z
touchnet.exe
- Y* A/ Z5 E3 q, Q; N$ m. Mtheworld.exe, e/ U# g b" H
maxthon.exe
$ ?" |1 \/ l; K0 o0 [( gttraveler.exe
9 B) w+ I1 v) S# f5 Onetscp.exe* b" N4 x }% j4 N
ge.exe9 a R; E5 o+ A1 z* _+ ?
firefox.exe* T0 I1 G$ K& I' m3 A4 Q# g
opera.exe
# c$ C* c* j( O0 C7 Z. v- V9 \* Mnetcaptor.exe
6 G2 J4 h0 q; V6 F/ q9 q" E. Omyie.exe+ ]; g- k H; z
iexplore.exe
" d; P5 }* C& ymmc.exe
* R2 `) C% N! ^ _, g& pregedit.exe# A. S7 B5 t5 E
taskmgr.exe
- p1 U# A g; i( e) rmpsvcc.exe, n9 P, @) {5 S5 H& y! s4 Y# K
xdaemon.exe3 d8 R% O: b% s1 U! k
xnet2.exe* s. S) ? R. Q3 c, b' S
(以上信息来自SoFuc.Com所进行的逆向). }( g9 m2 i) {4 j* i/ G
: s; V3 f3 N1 {6 `7 Z# @' L U1 F2 L
绿X还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。% {2 w, S" c% W" d, A
* b6 n0 y2 Q6 j* S5 y
该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?$ `" J# u6 G7 T3 H ?* j
1 h S9 i8 t: h; g 除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:
$ Z4 C; P/ `" b% p) I8 H% j& L: U
FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻。
2 f5 b) T4 s. X' D# n- a/ v! i, i+ g: m. B& [3 ^+ b
4 N$ {/ u2 P# Q 如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?
+ ]: a0 y. C/ ^! U: a1 x
/ |. F* o8 M1 x7 K/ P0 P6 t 实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿X并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。
, R" k1 p/ m* s0 I& Z" m H1 |/ P5 v$ l+ }& h
而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。
) K/ d: k* Q" x( {1 {9 J即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿X,色情网站和平共处,甚是和谐。/ D/ ~! L# I( E% [$ O K
, b$ L2 G7 @- f4 M 那么作为一款过滤软件,自身保护能力应该很强吧?绿X的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。8 F, {( [ @( D& H b
/ o6 d5 @" u d& t
2 {$ Z4 u1 E2 X* y! s
更可笑的,它的程序员们还犯了一个更加低级的错误。绿X的管理密码,通过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿X的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿X的管理密码就变回了默认的112233。' I8 U5 F. N% |% _6 V
/ `- `/ n2 f2 {
3 }" d9 E+ @( ]$ h$ x/ \2 Z
这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。
' {+ A& w' L& j* {. Y7 s: _* I+ B, J! j) g1 ?3 @4 {
最后我们来试着通过绿X所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。
& z; W6 [9 }) v+ _6 K7 C3 N
$ b# v) A5 V: V; X3 v) D2 C' g) c$ c6 e
绿X在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿X的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。
2 d) o4 R9 `, `' h% P9 l
, U( e& k( o" i5 w7 M3 E% i6 j 未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,监视大量应用程序,定时对系统进行截图,对代理软件进行**,然后将用户电脑中的各种资料秘密传往某处。 |
|
IP卡
狗仔卡
发表于 2009-6-15 11:39
微信
收藏
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
...内幕啊!!!且看绿坝怎样下得了台
