警告各位关于封堵删除针对“绿坝”过滤软件的攻击性言论的通知

2009-06-13 02:14:20


本朱一般不发表这样的言论地，老同学及自己都忙，没时间精力参与有针对性地回答人们的疑虑，只得转发别人的一点相关言论，因为这款软件自己还没用，故ZT之言论见解不代表偶之见解！当然，一些专业的朋友们也未必有兴趣看（术业专攻，看不懂嘛），那偶就选择性Z一点


价值4000万的过滤软件“驴霸”分析报告 　作者：神墙 

        
        这价值4000万的神秘软件究竟是个什么样，让我们看看。 
     
    　　软件版本为3.17 
     
    　　驴霸采用打包式安装程序，安装程序的EXE文件被执行之后，会在temp目录下随机生成临时文件夹，释放安装文件。 
     
    　　- Show quoted text - 
    　　然后调用该目录下setup.exe开始安装。 
    　　驴霸安装在system32目录下，安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件,文件列表如下：

....
....
....
    驴霸运行过程中会定时向http://www.zzjinhui.com/softpatch/进行被过滤黑名单的更新。同时会另外启用两个 xnet2.exe线程，与211.161.1.134 和203.171.236.231进行通讯，后者ip为河南郑州景安计算机网络，前者是北京长 宽的一个ip，具体来源不明。 
     
    　　大家都知道驴霸在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏，虽然官方信誓旦旦宣称不会泄露用户信息，但是很难保证在这些行为不明的监听和通讯中，不会把这些内容给发送出去。 
     
    　　更可疑的是，在xnet2.exe的语言文件xnet2_lang.ini中有这么一行
-------
                 - Show quoted text - 
    　　AOption0_1117=发现不良网站自动向金惠公司报告。 
-------

    驴霸还对ie浏览器进程注入dll，以至于被360当成恶意插件报毒。 
     
    　　该软件在监控时将发起大量的全局钩子，也就是说，只要它想，我们所看的网页，和别人聊天的内容，下载的东西，网购的物品，信箱里的邮件，游戏的帐号，设置与编写的文档，做的ppt都可以被它轻易搞到手。又有谁可能保证，它没有在这样做呢？ 
     
    　　除此之外，该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容： 
     
    　　FreeGate/8567/tcp Urf/9666/tcp 
    
       这个文件的作用很明显，屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻，一句话概括： 
     
    　　内滤霸(驴霸)，外神盾(GFW)，双剑合璧，天下无敌。 
     
    　　如此强悍的设计，那我们这套价值4000万的软件就真的如此物超所值了吗？ 
     
    　　实际上并非如此。由于先天的技术缺陷和粗制滥造，使得软件存在许多脑残问题。譬如，驴霸并不像它所宣称的那样，对全系列Windows都能够完美支持，在XP以下系统漏洞百出，尤其是IE版本低下时，更是充当了“摆设”的作用。 
     
    　　而在Vista下经常完美的被用户账户控制干掉，且十分不稳定。 
     
    　　即使在状态最佳的XP下，也有让人跌破眼镜的表现。网站过 滤功能，居然只能在IE下生效，即使是同属IE内核的遨游之流都能时常时它失效。用火狐，谷歌这类非IE内核浏览器时，更是一点反映都没有。驴霸，SQ网站和平共处，甚是和谐。 
     
    　　那么作为一款过滤软件，自身保护能力应该很强吧？驴霸的答案是不，这让我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组，有交互保护（当其中一个被结束，另一个将会重新运行它）之外，其他可以说是一点防护都没有。就不要说用冰剑之类的工具，就连常见的文件粉碎机就可以将其置于死地。 
     
    　　更可笑的，它的程序员们还犯了一个更加低级的错误。驴霸的管理密码，通过类似于MD5的加密之后，储存在WINDOWSsystem32kwpwf.dll 文件中，搞笑的是该文件并没有受到任何程序的保护，单凭一记事本就可以大改其中内容。我们只要把知道密码的驴霸的WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道密码的那个驴霸的WINDOWSsystem32kwpwf.dll下，就相当于改变其密码了。也就是说，我们只要把WINDOWSsystem32kwpwf.dll的内容改为“D0970714757783E6CF17霸26F霸8E2298F”，那么驴霸的管理密码就变回了默认的 
    
                                   “112233。” 
     
    　　这软件的设计者是猪啊，4000多万，都够开发一套小型的OS的成本了，却换来如此粗制滥造，设计低劣的软件的仅仅一年的使用权？合法招标？潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。 
     
    　　最后我们来试着通过驴霸所提供的卸载途径卸载了它，看看这号称可以自由装卸，自由停用的软件是什么一副LM嘴脸。 
     
    　　驴霸在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式，甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢？答案在驴霸的设置中。然而即使我们使用它所提供的卸载功能对其进行卸载之后，文章一开始所提到的110个文件还会有多一半存在于我们的系统中，纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中，不过这次不再提供管理面板就是了。 
     
    　　未经用户同意强制安装（强行预装），通过其卸载程序无法将其完整移除这是判断LM软件的两条准则，而这个驴霸完美得全部符合。 
     
    　　4000 万，4000万NS人的血汗钱就换来了这么一个LM软件。它的存在真的是为了保护未成人收到SQ网站的毒害吗？未必，论网站过滤，9几年的美萍做的比它要好。甚至不用付出任何费用。监视大量应用程序，定时对系统进行截图，对代理软件进行封锁，然后将用户电脑中的各种资料秘密传往某处。 
     
    　　驴霸，不，应该说是滤霸，它只不过是一个由NS人买单，在种种潜规则和层层压榨油水之后所形成的一个GFW工程的副产品罢了，而这笔巨额开支，也只不过是整个GFW体系中的冰山一角。而已。

◇◇新语丝(www.xys.org)(xys3.dxiong.com)(www.xysforum.org)(xys2.dropin.org)◇◇