收藏本站腾讯微博新浪微博

经典论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

蓝色理想 最新研发动态 网站开通淘帖功能 - 蓝色理想插件 论坛内容导读一页看论坛 - 给官方提建议

论坛活动及任务 地图和邮件任务 请多用悬赏提问 热夏来袭,选一款蓝色理想的个性T恤吧!

手机上论坛,使用APP获得更好体验 急需前端攻城狮,获得内部推荐机会 论坛开通淘帖功能,收藏终于可以分类了!

搜索
查看: 1186|回复: 17

[闲聊] 无聊一下,关注"绿爸"[转]"绿爸"评测

[复制链接]
发表于 2009-6-11 17:38:35 | 显示全部楼层 |阅读模式
1、
这东西居然默认装在 windows 的安装目录里 ...
所有文件都在 windows 和 system32 下 ...
并且完全无法卸载 ...

2、
这东西直接把自己加到 Windows Firewall 的 Exception 列表里 ...
也就是说这玩意儿能在我全然不知情的情况下偷我机器里面的内容 ...


3、
重启过后 ...
apache 进程持续占用 cpu 100% ... 原因不详 ...
目前发现捋吧的进程总共四个 ...
分别是 xnet2.exe / xdaemon.exe / HncEng.exe / MPSvcC.exe ...
其中前两个进程会互相启动 ... 也就是这两个进程无法被单独中止 ...
另外这两个进程不停要求连接网络 ...
暂时全部拒绝 ...
下一步我抓包看看丫要联网干嘛 ...
木马属性初步确认 ...

3、在系统设置里面看到了卸载按钮 ...
使用效果未知 ...

4、图像识别系统很好很强大 ...
200 x 200 以下的小图可以成功躲避拦截 ...
如果是大图的话就会触发关闭浏览器动作 ...
初步判断图片分析的依据是肉色在图中占的比重 ...
像上面这种程度的 bikini 照就无法通过拦截 ...
黑人光腚妞和 13 的特写以及统一色调的 H 图都通过了拦截成功显示出来 ...

5、目前确认两个事情 ...
https 的图片非常安全 ... 通过 fpassthru 到浏览器的图片非常安全 ...
标准方式显示的图片都会被过滤器判断 ...
判断方式待摸索 ...

6、
结果开心网因为包含太多不良图片被列入了黄网的范畴 ...
我倒是对这个结果没什么异议 ...
但是这个判定的理由实在是太神奇了 ...
这他妈是为什么啊 ...

7、
已确认图片的判断根据是缓存和后缀名 ...
如果图片不缓存或修改成非图片后缀让浏览器自己识别的话拦截是无效的 ...
拦截规范依然未知 ... 需要慢慢摸索 ...

8、
似乎大毛还没有被拦下来的可能 ...
在线找了几个 wmv 和 flv 的毛画儿 ...
完全没被拦住 ...

9、
我操真正的大妖孽来了 ...
文字过滤系统 ... 妖孽程度远超我的想象 ...
这东西涉及的范围不止网页 ... 而是任何出现敏感字词的程序 ...
并且只要出现了就崩程序 ... 包括别人传给你的或者你输入的 ...
刚输入完还来不及按发送的时候直接就强退掉 ...
目前测试的软件有 editplus QQ MSN gtalk 以及我用 php 写的一个测试 ...
我觉得这东西如果真的成功推广了就有新玩法了 ...
随便找个非主流的群发条敏感词 ...
一下估计半个群就得掉线 ...如果你想欺负一个装了这软件的孩子怎么办 ...
简单 ... 在他的空间里写条敏感词的评论 ...
然后他就再也没法看你评论的那篇日志了 ...
这个你看不见...

让你看不见,让你看不见.
发表于 2009-6-11 17:42:52 | 显示全部楼层
这个你看不见...

让你看不见,让你看不见.
回复 支持 反对

使用道具 举报

发表于 2009-6-11 17:44:34 | 显示全部楼层
第九条还真是很体贴.
回复 支持 反对

使用道具 举报

发表于 2009-6-11 17:52:12 | 显示全部楼层
我格式化重装系统会不会犯法?
回复 支持 反对

使用道具 举报

发表于 2009-6-11 17:55:12 | 显示全部楼层
看到特写那,我就忍不住笑了
回复 支持 反对

使用道具 举报

发表于 2009-6-11 18:21:01 | 显示全部楼层
新京报 发布时间: 2009-06-11 作者:花落去
http://epaper.thebeijingnews.com ... /content_368640.htm

“绿”网筑“坝”

 因此,很多时候并非技术限制了人的自由或造成了依赖,而是技术模式本身是否适合人类的天性。一种无可替代的技术,很可能会反过来威胁人;而当用户有了更多的选择,就能通过技术,体验世界的丰富与美好。正如钱天白教授代表中国向世界发出的第一封电子邮件说的那样,“Across the Great Wall we can reach every corner in the world.”(越过长城,走向世界)。

这篇文章最后一句话什么意思?
回复 支持 反对

使用道具 举报

发表于 2009-6-11 18:36:59 | 显示全部楼层
肉色比重..
了解了解~哈哈
这贴比刚才的滤霸评测贴更强一些
回复 支持 反对

使用道具 举报

发表于 2009-6-11 19:35:07 | 显示全部楼层
黑人光腚妞和 13 的特写以及统一色调的 H 图都通过了拦截成功显示出来 ...

:D
回复 支持 反对

使用道具 举报

发表于 2009-6-12 18:02:21 | 显示全部楼层
现在某些利益团体为了金钱利益找出的路子和理由真是可笑的让人汗颜!
回复 支持 反对

使用道具 举报

发表于 2009-6-12 21:51:19 | 显示全部楼层
哎,,,做养猪网站的不知道会不会被蔽~~~~~造孽~~~~~~
回复 支持 反对

使用道具 举报

发表于 2009-6-12 22:11:06 | 显示全部楼层
造孽啊,祝福孩子们吧
回复 支持 反对

使用道具 举报

发表于 2009-6-12 22:20:10 | 显示全部楼层
http://www.jiangmin.com/News/jia ... nt/200961215757.htm
6月12日,国外研究人员发现“绿坝——花季护航”软件存在安全漏洞。研究人员发现,该漏洞存在于“绿坝”过滤功能中,在开启绿坝过滤功能后,打开经过特别设置的网页,可以导致绿坝软件相关模块缓冲区溢出漏洞。骇客利用该溢出漏洞,可以利用“网页挂马”的方式传播病毒,中毒电脑存在严重泄密或被黑客远程控制的可能。

    据介绍,目前通过各种途径安装“绿坝——花季护航”软件的用户已有5000万,这意味着至少5000万用户可能被黑客攻击,或成为骇客手中的“肉鸡”。

    江民反病毒专家研究后表示,“绿坝——花季护航”确实存在上述漏洞,建议绿坝软件开发者能够尽快拿出补丁程序。在补丁出来之前,用户可以暂停使用绿坝的过滤功能。江民科技将密切关注该漏洞被骇客利用情况,一旦监测发现有利用该漏洞的恶意代码出现,将第一时间加入到江民杀毒软件的病毒库中,最大程度地避免绿坝用户遭受利用该漏洞的病毒侵害。
回复 支持 反对

使用道具 举报

发表于 2009-6-12 22:21:37 | 显示全部楼层
一直没发表意见,不过不得不说下文字部分的屏蔽吧
如果仅仅是字词的屏蔽,我想中文以后在互联网就会没落了
估计以后高考就会考关键词屏蔽填空了

党的原则性
被屏蔽为“%的原则%”

转下别人发的:
1、贺宝刀小心地把熏好的刀(禁止)鞘中,又开始熏他的枪头。
答案:这里的(禁止)是“插入”,太恶俗了吧?刀入鞘都变成下流动作了,那用筷子往嘴里送菜这种行为是不是也不太适合在公共场合做呢?

2、杨致远欠了一下(禁止):“禀大人,有个官司要请大人示下。”
答案:这里的(禁止)应该是身体。靠,这也算下流?那么《生理卫生》这本书简直算是最色情的黄书了。

3、他们要稍微蓄养一(禁止)力。
答案:这里的(禁止)是“下体”,嗯,郁闷得很,哪有这么拆的?那么“由于天阴毛主席没有外出”、“在江阴毛主席观看了群众表演”中的“阴毛”也他妈实在是太淫荡了。

4、陈继盛这话说得就如同一个乞丐,然后就眼巴巴地望着黄石,希望他松(被禁止)出些钱来。
答案:这里的(被禁止)实在是有点难猜,费了我好一会儿功夫,后来想明白应该是“口交”!哈哈,操!非要把一部穿越小说弄成色情小说才过瘾吗?以后像“我们在港口交货”这样的句子明显就是硬色情了。

5、大明户律,(被禁止)女家无错,无需赔偿双倍聘金,如果男方坚持退婚,则可讨还半数聘金听她改嫁,否则应鼓励夫妻完聚。
答案:这里的(被禁止)到现在也想不出来,已经把强奸、性交等一大堆都想了一遍,居然也找不到适合的。可能是“失身”?不过失身这个词又不下流,有什么好禁止的呢?

6、大明户律,(被禁止)者流放充军、仗八十,鼓励夫妻完聚,听妻改嫁则聘金不退、嫁妆送还。
答案:嗯,按照上下文,这里是“强奸”应该没错吧。不过,为什么原文上面的强暴又不禁止呢?还真是想不明白啊。
回复 支持 反对

使用道具 举报

发表于 2009-6-12 22:26:07 | 显示全部楼层
原帖由 [i]xiaokong 于 2009-6-12 22:21 发表
一直没发表意见,不过不得不说下文字部分的屏蔽吧
如果仅仅是字词的屏蔽,我想中文以后在互联网就会没落了
估计以后高考就会考关键词屏蔽填空了

党的原则性
被屏蔽为“%的原则%”

转下别人发的:
1、贺宝刀 ...

不怕,据说绿吧对中文英文是一视同仁滴
回复 支持 反对

使用道具 举报

发表于 2009-6-12 22:30:53 | 显示全部楼层
大肚能容容天下难容之事
开口常笑笑世上可笑之人
回复 支持 反对

使用道具 举报

发表于 2009-6-12 22:54:22 | 显示全部楼层

绿坝分析报告

开场白就免了,直接进入正题。


这价值4000万的神秘软件究竟是个什么样,让我们看看。

软件版本为3.17

绿坝采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。

- Show quoted text -
然后调用该目录下setup.exe开始安装。
绿坝安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:

,1,system32RunAfterSetup.exe,9,0,32
,2,system32sys.dat,9,0,32
,3,system32poppo.dll,1,0,32
,4,system32sysEx.dat,1,0,32
,5,system32appface.dll,1,0,32
,6,system32xabout.dat,1,0,32
,7,system32x100.dat,1,0,32
,8,system32x200.dat,1,0,32
,9,system32x300.dat,1,0,32
,10,system32x400.dat,1,0,32
,11,system32xnet2_lang.ini,9,0,32
,12,system32bnrfil.dat,1,0,32
,13,system32bsnlst.dat,1,0,32
,14,system32csnews.dat,1,0,32
,15,system32gdwfil.dat,1,0,32
,16,system32TrustUrl.dat,1,0,32
,17,system32wfileu.dat,1,0,32
,18,system32xwordh.dat,1,0,32
,19,system32xwordl.dat,1,0,32
,20,system32xwordm.dat,1,0,32
,21,system32auctfil.dat,1,0,32
,22,system32chtfil.dat,1,0,32
,23,system32cultfil.dat,1,0,32
,24,system32entfil.dat,1,0,32
,25,system32finfil.dat,1,0,32
,26,system32fmfil.dat,1,0,32
,27,system32fshrfil.dat,1,0,32
,28,system32gblfil.dat,1,0,32
,29,system32gnfil.dat,1,0,32
,30,system32hatfil.dat,1,0,32
,31,system32iawfil.dat,1,0,32
,32,system32imgfil.dat,1,0,32
,33,system32jbfil.dat,1,0,32
,34,system32lgwfil.dat,1,0,32
,35,system32movfil.dat,1,0,32
,36,system32mp3fil.dat,1,0,32
,37,system32nvgamfil.dat,1,0,32
,38,system32perfil.dat,1,0,32
,39,system32picsfil.dat,1,0,32
,40,system32pkmon.dat,1,0,32
,41,system32popfil.dat,1,0,32
,42,system32psyfil.dat,1,0,32
,43,system32sporfil.dat,1,0,32
,44,system32swfil.dat,1,0,32
,45,system32tafil.dat,1,0,32
,46,system32tapfil.dat,1,0,32
,47,system32vgamfil.dat,1,0,32
,48,system32viofil.dat,1,0,32
,49,system32wrestfil.dat,1,0,32
,50,system32wzfil.dat,1,0,32
,51,system32adwfil.dat,1,0,32
,52,system321.urf,1,0,32
,53,system322.urf,1,0,32
,54,system323.urf,1,0,32
,55,system324.urf,1,0,32
,56,system325.urf,1,0,32
,57,system326.urf,9,0,32
,58,system327.urf,9,0,32
,59,system32goldlock.exe,9,0,32
,60,system32filtport.dat,9,0,32
,61,system32x100.jpg,9,0,32
,62,system32x200.jpg,9,0,32
,63,system32x300.jpg,9,0,32
,64,system32x400.jpg,9,0,32
,65,system32x500.jpg,9,0,32
,66,system32win2kspi.reg,9,0,32
,67,system32winxpSpi.reg,9,0,32
,68,system32Win98Spi.reg,9,0,32
,69,system32adwapp.dat,9,0,32
,70,system32XFimage.xml,9,0,32
,71,system32FImage.dll,9,0,32
,72,system32Xtool.dll,9,0,32
,73,system32Xcv.dll,9,0,32
,74,system32xcore.dll,9,0,32
,75,system32x600.jpg,9,0,32
,76,system32wfile.dat,9,0,32
,77,system32winvista.reg,9,0,32
,78,system32IPGate.dll,9,0,32
,79,system32gn.exe,29,0,32
,80,system32looklog.exe,29,0,32
,81,system32lookpic.exe,29,0,32
,82,system32xconfigs.dat,29,0,32
,83,system32XNet2.exe,29,0,32
,84,system32XDaemon.exe,29,0,32
,85,system32kwdata.exe,29,0,32
,86,system32Update.exe,29,0,32
,87,windowslogdesktop.ini,1,0,32
,87,windowssnapdesktop.ini,1,0,32
,88,windowshelpkw.chm,17,0,32
,89,windowsHNCLIBFalunWord.lib,29,0,32
,90,windowsimage.dat,9,0,32
,91,windowsimage1.dat,1,0,32
,92,windowsCardLib.dll,9,0,32
,93,windowscximage.dll,9,0,32
,94,windowsdbfilter.dll,9,0,32
,95,windowsSurfgd.dll,29,0,32
,96,windowsdbServ.dll,29,0,32
,97,windowsCImage.dll,29,0,32
,98,windowsHandler.dll,29,0,32
,99,windowsHASrv.dll,29,0,32
,100,windowsHncEng.exe,29,0,32
,101,windowsHncEngPS.dll,29,0,32
,102,windowsInjLib32.dll,29,0,32
,103,windowsMPSvcDll.dll,29,0,32
,104,windowsMPSvcPS.dll,29,0,32
,105,windowsSentenceObj.dll,29,0,32
,106,windowsMPSvcC.exe,29,0,32
,107,windowsvnew.bmp,29,0,32
,108,windowsxstring.s2g,29,0,32
,109,windowskwselectinfopp.dll,5,0,32
,110,windowskwimage.dll,29,0,32

安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。

接下来我们再看看绿坝在作用状态下都做了什么。

安装绿坝之后将会有四个进程和一个驱动被调入内存。
system32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护

system32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:

windowsHncEng.exe
服务进程

windowsMPSvcC.exe
看着很像微点吧,但是这是假象,其实它也是绿坝的服务进程。

Driversmgtaki.sys
安装完成后被写入的驱动文件,目的不明。
软件卸载时也不会被移除。



绿坝运行过程中会定时向http://www.zzjinhui.com/softpatch/进行被过滤黑名单的更新。同时会另外启用两个xnet2.exe线程,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京长宽的一个ip,具体来源不明。

大家都知道绿坝在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。

更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行

- Show quoted text -
AOption0_1117=发现不良网站自动向金惠公司报告。

而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限于以下几十种:
wow.exe
yahoomessenger.exe
wangwang.exe
start.exe
uc.exe
icq.exe
skype.exe
eph.exe
sgr.exe
qqgame.exe
qqchat.exe
qq.exe
bitbomet.exe
editplus.exe
uedit32.exe
emeditor.exe
wordpad.exe
notepad.exe
wps.exe
wpp.exe
et.exe
powerpnt.exe
frontpg.exe
excel.exe
msaccess.exe
outlook.exe
winword.exe
mailmagic.exe
popo.exe
qqmail.exe
aixmail.exe
imapp.exe
incmail.exe
msimn.exe
dm2005.exe
foxmail.exe
googletalk.exe
miranda32.exe
imu.exe
ypager.exe
tmshell.exe
start.exe
uc.exe
icqchatrobot.exe
qq.exe
msnmsgr.exe
gsfbwsr.exe
greenbrowser.exe
touchnet.exe
theworld.exe
maxthon.exe
ttraveler.exe
netscp.exe
ge.exe
firefox.exe
opera.exe
netcaptor.exe
myie.exe
iexplore.exe
mmc.exe
regedit.exe
taskmgr.exe
mpsvcc.exe
xdaemon.exe
xnet2.exe
(以上信息来自SoFuc.Com所进行的逆向)

绿坝还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。

该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它没有在这样做呢?

除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:

FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻,一句话概括:

内滤霸(绿坝),外神盾(GFW),双剑合璧,天下无敌。


如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?

实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残问题。譬如,绿坝并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。

而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。

即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿坝,色情网站和平共处,甚是和谐。

那么作为一款过滤软件,自身保护能力应该很强吧?绿坝的答案是不,这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。


更可笑的,它的程序员们还犯了一个更加低级的错误。绿坝的管理密码,通过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll文件中,搞笑的是该文件并没有收到任何程序的保护,单凭一记事本就可以大改其中内容。我们只要把知道密码的绿坝的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个绿坝的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17B26FB8E2298F”,那么绿坝的管理密码就变回了默认的112233。


这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。

最后我们来试着通过绿坝所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。


绿坝在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿坝的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。

未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这是判断流氓软件的两条准则,而这个绿坝完美得全部符合。


4000万,4000万纳税人的血汗钱就换来了这么一个流氓软件。它的存在真的是为了保护未成人收到色情网站的毒害吗?未必,论网站过滤,9几年的美萍做的比它要好。甚至不用付出任何费用。监视大量应用程序,定时对系统进行截图,对代理软件进行封锁,然后将用户电脑中的各种资料秘密传往某处。
回复 支持 反对

使用道具 举报

发表于 2009-6-13 00:52:21 | 显示全部楼层
名字明明是驢霸,爲什麽會被叫成XX?
回复 支持 反对

使用道具 举报

发表于 2009-6-13 09:54:28 | 显示全部楼层
我用组策略+白名单,绿坝在我机器运行不了
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|Archiver|手机版|blueidea.com ( 湘ICP备12001430号 )  

GMT+8, 2020-9-26 08:51 , Processed in 0.141247 second(s), 8 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表