"绿坝"的使用感受

软件技巧 十五楼的鸟儿 1388浏览 0评论
传闻以后的电脑都要有这么一个软件,于是乎看了下cnbeta上发的测评,结果那测评,仅仅是从功能上看的。

自己亲自装了一下这个绿坝,原来是花季护航...汗...小弟已经不是花季了,干嘛非要给每个人都装这玩意?

从官网下载的这个文件,未注册的版本似乎也没有什么使用限制。
文件: C:\LH-setup3.17.exe
大小: 10355637 字节
MD5: D31AA54DCC339ECDEE300C35107F2555
SHA1: 4AAA6CEC69B4DFD952EDA3512A0B45C1F34A0F7C
CRC32: 67994CA3

程序默认安装在system32目录下,并且无法自定义。
使用total uninstall监控安装,发现如下修改:

已发现的更改
文件系统
已创建的文件夹 : 9
已删除的文件夹 : 0
已创建的文件 : 114
已删除的文件 : 0
已修改的文件 : 2
大小 : 20.56 MB
注册表
已创建的键 : 58
已删除的键 : 0
已创建的值 : 132
已删除的值 : 0
已修改的值 : 25

大小 : 12.04 KB
由于临时文件的原因,不同的人监控到的文件修改数目可能会不同。

我自己没有安装杀软,看一下这个软件的内存占用,一共四个进程:




占用内存50M左右,堪比杀毒软件,汗...
注意:软件可以设置停止各种监控,但是停止后也未见占用内存有减少的倾向,依然在50M左右。

使用感受,特意找了几个xx类站点,IE打开的时候,瞬间整个IE8被关闭,而不是过滤,如果你在网吧被网管软件限制过,你就知道这种感受了,八个选项卡,就一个上面有迅雷俩字,整个浏览器就被关掉(如果自定义敏感字有迅雷字眼)。以软件窗口的形式弹出一个界面,提示内容不良,已被过滤(怎么觉得这都不是过滤)。软件还有一个智能图像识别,所有功能禁用,保留智能图像识别,又开了几个xxxxxx站,貌似那软件有点傻? 无能? 反正就是有点慢(晚勃?),我看了半天也没给个提示啥的。还发现一个问题就是,这个傻×软件还仅仅是监控IE的水平,火狐他是不管的,比一些网管软件好点(或者说差点?)。

卸载:自带卸载无法全部卸载干净。
担忧的几个文件有:
驱动文件 C:\WINDOWS\system32\drivers\mgtaki.sys,可以理解,不少程序在卸载后都会残留驱动,但是程序安装的时候有三个服务,卸载后只卸载了两个,有一个服务在管理中找不到,注册表中有注册服务残余,与这个系统文件同名的服务。看图:


有大量的注册表的修改添加在系统之中,未能在卸载的时候清理掉,包括和主要程序关联的一些注册表:


基本上就是这么多,暂时在卸载此工具后未见网络流量异常,不过那个服务,还是让人担忧的,未能卸载干净,会带来很多隐患。
附上一则来自网络的破解分析报告:
开场白就免了,直接进入正题。
这价值4000万的神秘软件究竟是个什么样,让我们看看。

软件版本为3.17

绿坝采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。

- Show quoted text -
然后调用该目录下setup.exe开始安装。
绿坝安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:
,1,system32RunAfterSetup.exe,9,0,32
,2,system32sys.dat,9,0,32
,3,system32poppo.dll,1,0,32
,4,system32sysEx.dat,1,0,32
,5,system32appface.dll,1,0,32
,6,system32xabout.dat,1,0,32
,7,system32x100.dat,1,0,32
,8,system32x200.dat,1,0,32
,9,system32x300.dat,1,0,32
,10,system32x400.dat,1,0,32
,11,system32xnet2_lang.ini,9,0,32
,12,system32bnrfil.dat,1,0,32
,13,system32bsnlst.dat,1,0,32
,14,system32csnews.dat,1,0,32
,15,system32gdwfil.dat,1,0,32
,16,system32TrustUrl.dat,1,0,32
,17,system32wfileu.dat,1,0,32
,18,system32xwordh.dat,1,0,32
,19,system32xwordl.dat,1,0,32
,20,system32xwordm.dat,1,0,32
,21,system32auctfil.dat,1,0,32
,22,system32chtfil.dat,1,0,32
,23,system32cultfil.dat,1,0,32
,24,system32entfil.dat,1,0,32
,25,system32finfil.dat,1,0,32
,26,system32fmfil.dat,1,0,32
,27,system32fshrfil.dat,1,0,32
,28,system32gblfil.dat,1,0,32
,29,system32gnfil.dat,1,0,32
,30,system32hatfil.dat,1,0,32
,31,system32iawfil.dat,1,0,32
,32,system32imgfil.dat,1,0,32
,33,system32jbfil.dat,1,0,32
,34,system32lgwfil.dat,1,0,32
,35,system32movfil.dat,1,0,32
,36,system32mp3fil.dat,1,0,32
,37,system32nvgamfil.dat,1,0,32
,38,system32perfil.dat,1,0,32
,39,system32picsfil.dat,1,0,32
,40,system32pkmon.dat,1,0,32
,41,system32popfil.dat,1,0,32
,42,system32psyfil.dat,1,0,32
,43,system32sporfil.dat,1,0,32
,44,system32swfil.dat,1,0,32
,45,system32tafil.dat,1,0,32
,46,system32tapfil.dat,1,0,32
,47,system32vgamfil.dat,1,0,32
,48,system32viofil.dat,1,0,32
,49,system32wrestfil.dat,1,0,32
,50,system32wzfil.dat,1,0,32
,51,system32adwfil.dat,1,0,32
,52,system321.urf,1,0,32
,53,system322.urf,1,0,32
,54,system323.urf,1,0,32
,55,system324.urf,1,0,32
,56,system325.urf,1,0,32
,57,system326.urf,9,0,32
,58,system327.urf,9,0,32
,59,system32goldlock.exe,9,0,32
,60,system32filtport.dat,9,0,32
,61,system32x100.jpg,9,0,32
,62,system32x200.jpg,9,0,32
,63,system32x300.jpg,9,0,32
,64,system32x400.jpg,9,0,32
,65,system32x500.jpg,9,0,32
,66,system32win2kspi.reg,9,0,32
,67,system32winxpSpi.reg,9,0,32
,68,system32Win98Spi.reg,9,0,32
,69,system32adwapp.dat,9,0,32
,70,system32XFimage.xml,9,0,32
,71,system32FImage.dll,9,0,32
,72,system32Xtool.dll,9,0,32
,73,system32Xcv.dll,9,0,32
,74,system32xcore.dll,9,0,32
,75,system32x600.jpg,9,0,32
,76,system32wfile.dat,9,0,32
,77,system32winvista.reg,9,0,32
,78,system32IPGate.dll,9,0,32
,79,system32gn.exe,29,0,32
,80,system32looklog.exe,29,0,32
,81,system32lookpic.exe,29,0,32
,82,system32xconfigs.dat,29,0,32
,83,system32XNet2.exe,29,0,32
,84,system32XDaemon.exe,29,0,32
,85,system32kwdata.exe,29,0,32
,86,system32Update.exe,29,0,32
,87,windowslogdesktop.ini,1,0,32
,87,windowssnapdesktop.ini,1,0,32
,88,windowshelpkw.chm,17,0,32
,89,windowsHNCLIBFalunWord.lib,29,0,32
,90,windowsimage.dat,9,0,32
,91,windowsimage1.dat,1,0,32
,92,windowsCardLib.dll,9,0,32
,93,windowscximage.dll,9,0,32
,94,windowsdbfilter.dll,9,0,32
,95,windowsSurfgd.dll,29,0,32
,96,windowsdbServ.dll,29,0,32
,97,windowsCImage.dll,29,0,32
,98,windowsHandler.dll,29,0,32
,99,windowsHASrv.dll,29,0,32
,100,windowsHncEng.exe,29,0,32
,101,windowsHncEngPS.dll,29,0,32
,102,windowsInjLib32.dll,29,0,32
,103,windowsMPSvcDll.dll,29,0,32
,104,windowsMPSvcPS.dll,29,0,3
2
,105,windowsSentenceObj.dll,29,0,32
,106,windowsMPSvcC.exe,29,0,32
,107,windowsvnew.bmp,29,0,32
,108,windowsxstring.s2g,29,0,32
,109,windowskwselectinfopp.dll,5,0,32
,110,windowskwimage.dll,29,0,32

安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。

接下来我们再看看绿坝在作用状态下都做了什么。

安装绿坝之后将会有四个进程和一个驱动被调入内存。
system32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护

system32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:

windowsHncEng.exe
服务进程
windowsMPSvcC.exe

看着很像微点吧,但是这是假象,其实它也是绿坝的服务进程。

Driversmgtaki.sys
安装完成后被写入的驱动文件,目的不明。
软件卸载时也不会被移除。



绿坝运行过程中会定时向http://www.zzjinhui.com/softpatch/进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京长宽的一个ip,具体来源不明。

大家都知道绿坝在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。

更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行

- Show quoted text -
AOption0_1117=发现不良网站自动向金惠公司报告。

而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:
wow.exe
yahoomessenger.exe
wangwang.exe
start.exe
uc.exe
icq.exe
skype.exe
eph.exe
sgr.exe
qqgame.exe
qqchat.exe
qq.exe
bitbomet.exe
editplus.exe
uedit32.exe
emeditor.exe
wordpad.exe
notepad.exe
wps.exe
wpp.exe
et.exe
powerpnt.exe
frontpg.exe
excel.exe
msaccess.exe
outlook.exe
winword.exe
mailmagic.exe
popo.exe
qqmail.exe
aixmail.exe
imapp.exe
incmail.exe
msimn.exe
dm2005.exe
foxmail.exe
googletalk.exe
miranda32.exe
imu.exe
ypager.exe
tmshell.exe
start.exe
uc.exe
icqchatrobot.exe
qq.exe
msnmsgr.exe
gsfbwsr.exe
greenbrowser.exe
touchnet.exe
theworld.exe
maxthon.exe
ttraveler.exe
netscp.exe
ge.exe
firefox.exe
opera.exe
netcaptor.exe
myie.exe
iexplore.exe
mmc.exe
regedit.exe
taskmgr.exe
mpsvcc.exe
xdaemon.exe
xnet2.exe
(以上信息来自SoFuc.Com所进行的逆向)

绿坝还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。

该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?

除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:

FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻,一句话概括:


内滤霸(绿坝),外神盾(GFW),双剑合璧,天下无敌。

如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?

实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿坝并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。

而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。
即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿坝,色情网站和平共处,甚是和谐。

那么作为一款过滤软件,自身保护能力应该很强吧?绿坝的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。


更可笑的,它的程序员们还犯了一个更加低级的错误。绿坝的管理密码,通过类似于MD5的加密之后,储存在 WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿坝的 WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿坝的管理密码就变回了默认的112233。


这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。

最后我们来试着通过绿坝所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。


绿坝在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿坝的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。

未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。


4000万,4000万纳税人的血汗钱就换来了这么一个流氓软件。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,论网站过滤,9几年的美萍做的比它要好。甚至不用付出任何费用。监视大量应用程序,定时对系统进行截图,对代理软件进行封锁,然后将用户电脑中的各种资料秘密传往某处。

绿坝,不,应该说是滤霸,它只不过是一个由纳税人买单,在种种潜规则和层层压榨油水之后所形成的一个GFW工程的副产品罢了,而这笔巨额开支,也只不过是整个GFW体系中的冰山一角。而已。

转载请注明:鸟儿博客 » "绿坝"的使用感受

游客
发表我的评论 换个身份
取消评论

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

等待大佬打赏中~