註冊 登入



打印

中國政府監控軟體 : 綠壩 - 花季護航 分析

中國政府監控軟體 : 綠壩 - 花季護航 分析 E-mail 此主題給朋友

[隱藏]
下文是從中國網站轉貼過來:
這套軟體由中國政府花了四千萬人民幣所打造的
預定七月一號起所有的新電腦都要安裝

http://www.discuss.com.hk/viewthread.php?tid=9866365&extra=page%3D1

果然不出所料,這監控軟件確實是不簡單項目;是否存在壟斷或侵犯私隱問題,就由電腦用戶自行思考。)
價值4000萬的過濾軟件,綠壩分析報告
軟件版本為3.17

綠壩採用打包式安裝程序,安裝程序的EXE文件被執行之後,會在temp目錄下隨機生成臨時文件夾,釋放安裝文件。

- Show quoted text -
然後調用該目錄下setup.exe開始安裝。
綠壩安裝在system32目錄下,安裝共寫入包括windowssystem32infdrivrs等系統關鍵目錄在內的12個目錄110個文件,文件列表如下:

1.system32RunAfterSetup.exe,9,0,32
2.system32sys.dat,9,0,32
3.system32poppo.dll,1,0,32
4.system32sysEx.dat,1,0,32
5.system32appface.dll,1,0,32
6.system32xabout.dat,1,0,32
7.system32x100.dat,1,0,32
8.system32x200.dat,1,0,32
9.system32x300.dat,1,0,32
10.system32x400.dat,1,0,32
11.system32xnet2_lang.ini,9,0,32
12.system32bnrfil.dat,1,0,32
13.system32bsnlst.dat,1,0,32
14.system32csnews.dat,1,0,32
15.system32gdwfil.dat,1,0,32
16.system32TrustUrl.dat,1,0,32
17.system32wfileu.dat,1,0,32
18.system32xwordh.dat,1,0,32
19.system32xwordl.dat,1,0,32
20.system32xwordm.dat,1,0,32
21.system32auctfil.dat,1,0,32
22.system32chtfil.dat,1,0,32
23.system32cultfil.dat,1,0,32
24.system32entfil.dat,1,0,32
25.system32finfil.dat,1,0,32
26.system32fmfil.dat,1,0,32
27.system32fshrfil.dat,1,0,32
28.system32gblfil.dat,1,0,32
29.system32gnfil.dat,1,0,32
30.system32hatfil.dat,1,0,32
31.system32iawfil.dat,1,0,32
32.system32imgfil.dat,1,0,32
33.system32jbfil.dat,1,0,32
34.system32lgwfil.dat,1,0,32
35.system32movfil.dat,1,0,32
36.system32mp3fil.dat,1,0,32
37.system32nvgamfil.dat,1,0,32
38.system32perfil.dat,1,0,32
39.system32picsfil.dat,1,0,32
40.system32pkmon.dat,1,0,32
41.system32popfil.dat,1,0,32
42.system32psyfil.dat,1,0,32
43.system32sporfil.dat,1,0,32
44.system32swfil.dat,1,0,32
45.system32tafil.dat,1,0,32
46.system32tapfil.dat,1,0,32
47.system32vgamfil.dat,1,0,32
48.system32viofil.dat,1,0,32
49.system32wrestfil.dat,1,0,32
50.system32wzfil.dat,1,0,32
51.system32adwfil.dat,1,0,32
52.system321.urf,1,0,32
53.system322.urf,1,0,32
54.system323.urf,1,0,32
55.system324.urf,1,0,32
56.system325.urf,1,0,32
57.system326.urf,9,0,32
58.system327.urf,9,0,32
59.system32goldlock.exe,9,0,32
60.system32filtport.dat,9,0,32
61.system32x100.jpg,9,0,32
62.system32x200.jpg,9,0,32
63.system32x300.jpg,9,0,32
64.system32x400.jpg,9,0,32
65.system32x500.jpg,9,0,32
66.system32win2kspi.reg,9,0,32
67.system32winxpSpi.reg,9,0,32
68.system32Win98Spi.reg,9,0,32
69.system32adwapp.dat,9,0,32
70.system32XFimage.xml,9,0,32
71.system32FImage.dll,9,0,32
72.system32Xtool.dll,9,0,32
73.system32Xcv.dll,9,0,32
74.system32xcore.dll,9,0,32
75.system32x600.jpg,9,0,32
76.system32wfile.dat,9,0,32
77.system32winvista.reg,9,0,32
78.system32IPGate.dll,9,0,32
79.system32gn.exe,29,0,32
80.system32looklog.exe,29,0,32
81.system32lookpic.exe,29,0,32
82.system32xconfigs.dat,29,0,32
83.system32XNet2.exe,29,0,32
84.system32XDaemon.exe,29,0,32
85.system32kwdata.exe,29,0,32
86.system32Update.exe,29,0,32
87.windowslogdesktop.ini,1,0,32
87.windowssnapdesktop.ini,1,0,32
88.windowshelpkw.chm,17,0,32
89.windowsHNCLIBFalunWord.lib,29,0,32
90.windowsimage.dat,9,0,32
91.windowsimage1.dat,1,0,32
92.windowsCardLib.dll,9,0,32
93.windowscximage.dll,9,0,32
94.windowsdbfilter.dll,9,0,32
95.windowsSurfgd.dll,29,0,32
96.windowsdbServ.dll,29,0,32
97.windowsCImage.dll,29,0,32
98.windowsHandler.dll,29,0,32
99.windowsHASrv.dll,29,0,32
100.windowsHncEng.exe,29,0,32
101.windowsHncEngPS.dll,29,0,32
102.windowsInjLib32.dll,29,0,32
103.windowsMPSvcDll.dll,29,0,32
104.windowsMPSvcPS.dll,29,0,32
105.windowsSentenceObj.dll,29,0,32
106.windowsMPSvcC.exe,29,0,32
107.windowsvnew.bmp,29,0,32
108.windowsxstring.s2g,29,0,32
109.windowskwselectinfopp.dll,5,0,32
110.windowskwimage.dll,29,0,32

安裝結束時在註冊表 HKLMSOFTWAREMicrosoft 下寫入 xnet2鍵值。並運行 system32xnet2.exe 由該程序負責自啟動項和服務等的添加工作。
接下來我們再看看綠壩在作用狀態下都做了什麼。
安裝綠壩之後將會有四個進程和一個驅動被調入內存。
system32XDaemon.exe
守護進程,與Xnet2.exe實現交叉保護

system32XNet2.exe
綠壩的主程序,運行後將會啟用兩個線程分別監聽udp 12341204端口:

windowsHncEng.exe
服務進程

windowsMPSvcC.exe
看著很像微點吧,但是這是假象,其實它也是綠壩的服務進程。

Driversmgtaki.sys
安裝完成後被寫入的驅動文件,目的不明。
軟件卸載時也不會被移除。



回覆 引用 TOP

精選樓盤

回覆 1# 的帖子

綠壩運行過程中會定時向http://www.zzjinhui.com/softpatch/進行被過濾黑名單的更新。同時會另外啟用兩個xnet2.exe線程,與211.161.1.134 和 203.171.236.231進行通訊,後者ip為 河南鄭州景安計算機網絡 ,前者是北京長寬的一個ip,具體來源不明。

大家都知道綠壩在運行過程中會記錄網站的訪問和每隔三分鐘對系統進行一次截屏,雖然官方信誓旦旦宣稱不會洩露用戶信息,但是很難保證在這些行為不明的監聽和通訊中,不會把這些內容給發送出去。

更可疑的是,在xnet2.exe的語言文件xnet2_lang.ini中有這麼一行

- Show quoted text -
AOption0_1117=發現不良網站自動向金惠公司報告。

而且從網上高手對其進行逆向工程,而得來的數據來看,該軟件並不像它自己說宣稱的那樣,只是對web訪問進行監控,其進行監控的軟件包括卻不僅僅限於以下幾十種:
wow.exe
yahoomessenger.exe
wangwang.exe
start.exe
uc.exe
icq.exe
skype.exe
eph.exe
sgr.exe
qqgame.exe
qqchat.exe
qq.exe
bitbomet.exe
editplus.exe
uedit32.exe
emeditor.exe
wordpad.exe
notepad.exe
wps.exe
wpp.exe
et.exe
powerpnt.exe
frontpg.exe
excel.exe
msaccess.exe
outlook.exe
winword.exe
mailmagic.exe
popo.exe
qqmail.exe
aixmail.exe
imapp.exe
incmail.exe
msimn.exe
dm2005.exe
foxmail.exe
googletalk.exe
miranda32.exe
imu.exe
ypager.exe
tmshell.exe
start.exe
uc.exe
icqchatrobot.exe
qq.exe
msnmsgr.exe
gsfbwsr.exe
greenbrowser.exe
touchnet.exe
theworld.exe
maxthon.exe
ttraveler.exe
netscp.exe
ge.exe
firefox.exe
opera.exe
netcaptor.exe
myie.exe
iexplore.exe
mmc.exe
regedit.exe
taskmgr.exe
mpsvcc.exe
xdaemon.exe
xnet2.exe
(以上信息來自SoFuc.Com所進行的逆向)

綠壩還對ie瀏覽器進程注入dll,以至於被360當成惡意插件報毒。

該軟件在監控時將發起大量的全局鉤子,也就是說,只要它想,我們所看的網頁,和別人聊天的內容,下載的東西,網購的物品,信箱裡的郵件,遊戲的帳號,設置與編寫的文檔,做的ppt都可以被它輕易搞到手。又有誰可能保證,它沒有在這樣做呢?

除此之外,該軟件還做了一些不能見光的手腳。它的端口配置文件filtport.dat定義了如下內容:

FreeGate/8567/tcp Urf/9666/tcp 這個文件的作用很明顯,屏蔽常見的代理軟件FreeGate。在未來的更新中它更是可以在其中加入3128 1080 8080之類的端口 來禁止我們使用代理服務器。具體目的不言而喻,一句話概括:

內濾霸(綠壩),外神盾(GFW),雙劍合璧,天下無敵。


如此強悍的設計,那我們這套價值4000萬的軟件就真的如此物超所值了嗎?

實際上並非如此。由於先天的技術缺陷和粗製濫造,使得軟件存在許多腦殘問題。譬如,綠壩並不像它所宣稱的那樣,對全系列Windows都能夠完美支持。在XP以下系統漏洞百出,尤其是IE版本低下時,更是充當了「擺設」的作用。

而在Vista下經常完美的被用戶賬戶控制幹掉,且十分不穩定。

即使在狀態最佳的XP下,也有讓人跌破眼鏡的表現。網站過濾功能,居然只能在IE下生效,即使是同屬IE內核的遨遊之流都能時常時它失效。用火狐,谷歌這類非IE內核瀏覽器時,更是一點反映都沒有。綠壩,色情網站和平共處,甚是和諧。

那麼作為一款過濾軟件,自身保護能力應該很強吧?綠壩的答案是不,這讓我們再一次跌破另一副眼鏡。它的四個進程除了以兩個為一組,有交互保護(當其中一個被結束,另一個將會重新運行它)之外,其他可以說是一點防護都沒有。就不要說用冰劍之類的工具,就連常見的文件粉碎機就可以將其置於死地。


更可笑的,它的程序員們還犯了一個更加低級的錯誤。綠壩的管理密碼,通過類似於MD5的加密之後,儲存在WINDOWSsystem32kwpwf.dll 文件中,搞笑的是該文件並沒有收到任何程序的保護,單憑一記事本就可以大改其中內容。我們只要把知道密碼的綠壩的 WINDOWSsystem32kwpwf.dll文件中的內容複製到不知道密碼的那個綠壩的WINDOWSsystem32kwpwf.dll下,就相當於改變其密碼了。也就是說,我們只要把WINDOWSsystem32kwpwf.dll的內容改為「D0970714757783E6CF17B26FB8E2298F」,那麼綠壩的管理密碼就變回了默認的112233。


這軟件的設計者是豬啊,4000多萬,都夠開發一套小型的OS的成本了,確換來如此粗製濫造,設計低劣的軟件的僅僅一年的使用權?合法招標?潛規則所花費的金額如果不佔這筆巨款的一半都不會有人信。

最後我們來試著通過綠壩所提供的卸載途徑卸載了它,看看這號稱可以自由裝卸,自由停用的軟件是什麼一副流氓嘴臉。


綠壩在正常安裝之後開始菜單中並不會創建其卸載程序的快捷方式,甚至於添加刪除程序中都沒有相關內容。那卸載項藏在哪兒呢?答案在綠壩的設置中。然而即使我們使用它所提供的卸載功能對其進行卸載之後,文章一開始所提到的110個文件還會有多一半存在於我們的系統中,紋絲不動。重啟之後其監控程序甚至還會大搖大擺的出現在我們的進程當中,不過這次不再提供管理面板就是了。

未經用戶同意強制安裝(強行預裝),通過其卸載程序無法將其完整移除這是判斷流氓軟件的兩條準則,而這個綠壩完美得全部符合。


4000 萬,4000萬納稅人的血汗錢就換來了這麼一個流氓軟件。它的存在真的是為了保護未成人收到色情網站的毒害嗎?未必,論網站過濾,9幾年的美萍做的比它要好。甚至不用付出任何費用。監視大量應用程序,定時對系統進行截圖,對代理軟件進行封鎖,然後將用戶電腦中的各種資料秘密傳往某處。

綠壩,不,應該說是濾霸,它只不過是一個由納稅人買單,在種種潛規則和層層壓榨油水之後所形成的一個GFW工程的副產品罷了,而這筆巨額開支,也只不過是整個GFW體系中的冰山一角。而已。


[ 本帖最後由 ORKAN 於 2009-6-12 10:54 AM 編輯 ]



回覆 引用 TOP

好復雜有沒有程式自動反安裝?????


失敗中不停磨練,閉關多時, 破關再戰股壇!日子過得真快,炒下炒下又一日!!

回覆 引用 TOP

引用:
原帖由 炒股達人 於 2009-6-12 11:23 AM 發表

好復雜有沒有程式自動反安裝?????
如果跟樓主提供資料來看,這近乎"流氓軟件"的 [綠壩--花季護航]是移除不了
自動反安裝....當然沒有啦



回覆 引用 TOP

[隱藏]
You Tube 短片:
http://www.youtube.com/watch?v=ZhNBQZes2TM&feature=related

http://www.youtube.com/watch?v=JkkOOh_WyxY

綠壩 - 花季護航.....究竟係要黎過濾d 乜色情/暴力網站 ?



回覆 引用 TOP

according to the description, it's not difficult to remove it manually.

btw, let's use Linux or Mac OS. aren't they going to spend another 40M to build one for each of these operating systems?



回覆 引用 TOP

引用:
原帖由 tennessee 於 2009-6-14 12:42 AM 發表

according to the description, it's not difficult to remove it manually.

btw, let's use Linux or Mac OS. aren't they going to spend another 40M to build one for each of these operating systems? :smi ...
綠壩季花護航套軟件表面上不難移除,實質上係不能 [徹底移除]


如果再要設計該套軟件應用於Mac Linux 系統上,估計無須再花40M; 況且亦是祗是花國內納稅人的金錢。
而據樓主另文引述資料, 綠壩季花護航套軟件是第一年免費試用,而第二年是否繼續免費或要網民用者自付購買,仍然未有定案。(試想像...所有新電腦都強制安裝.....40M的投資算是什麼?)


關於[綠壩季花護航套軟件]移除問題,網上資料:
Quote:
軟件開發商金惠公司總經理張晨民對媒體宣稱「電腦廠商必須提供這一軟件,但用戶完全可以隨意移除。」然而大陸網民發現事實並非如此。專家經過實際安裝發現對其進行移除之後重啟,其監控程序還會大搖大擺的出現在[工作管理員]的進程當中,不過這次不再顯示管理面板而已。


他還表示:「未經用戶同意強制安裝(強行預裝),通過其移除程序無法將其完整移除這是判斷流氓軟件的兩條準則,而這個綠壩全部符合。」他並炮轟當局拿4000萬納稅人的血汗錢就換來了這麼一個流氓軟件。
Unquote



回覆 引用 TOP

Besides 360, I'm expecting to have more anti-virus software to include 綠壩–季花護航 into their malware databases if everything's going exactly as described.


回覆 引用 TOP

引用:
原帖由 tennessee 於 2009-6-14 03:43 PM 發表

Besides 360, I'm expecting to have more anti-virus software to include 綠壩–季花護航 into their malware databases if everything's going exactly as described.
....好多人估計外國防毒軟件未必會將上述軟件列入malware database ; 因為國外各大防毒軟件公司正在開拓大陸市場,免得過都不會跟大陸政府"對著幹"。



回覆 引用 TOP

[隱藏]
引用:
原帖由 LAHarry 於 14/6/2009 01:50 PM 發表



綠壩–季花護航套軟件”表面上”不難移除,但”實質上”係不能 [徹底移除]。
唉. 真係搞錯
不過中國好快有人寫條 scripts / program 鏟走去



回覆 引用 TOP

引用:
原帖由 tennessee 於 14/6/2009 03:43 PM 發表

Besides 360, I'm expecting to have more anti-virus software to include 綠壩–季花護航 into their malware databases if everything's going exactly as described.
"only if everythings gonna go exactly as described"
yes. if.



回覆 引用 TOP

一般病毒或木馬都係偷偷地做, 呢舊"國家級病毒" 直頭明刀明鎗.

大陸人真係一種好有趣既生物~



回覆 引用 TOP

美國商務部長駱家輝(Gary Locke)和貿易代表柯克(Ron Kirk)說,中國規定71日起市面上所有電腦必須安裝「綠壩花季護航」軟體,可能違反世界貿易組織(WTO)條文。


駱家輝說:「中國在幾乎沒有公開聲明情況下,要求事先安裝似乎具全面審查意味、並存在網路安全問題的軟體,讓這些公司站不住腳。」



駱家輝和柯克說,他們已將聯合聲明信遞交中國工業和信息化部及中國商務部。



回覆 引用 TOP

[按此隱藏 Google 建議的相符內容]






重要聲明:本討論區是以即時上載留言的方式運作,香港討論區對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意 見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本討論區受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們。香港討論區有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ), 同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權 。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。


Copyright©2003- Discuss.com.hk Limited. All Right Reserved.
版權所有,不得轉載。