价值4000万的过滤软件“绿BA”分析报告
发布日期:2022.02.01|浏览:205
价值4000万的过滤软件“绿BA”分析报告, 作者:神墙, 开场白就免了,直接进入正题。, 这价值4000万的神秘软件究竟是个什么样,让我们看看。, 软件版本为3.17, 绿BA采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录, 下随机生成临时文件夹,释放安装文件。, - Show quoted text -, 然后调用该目录下setup.exe开始安装。, 绿BA安装在system32目录下,安装共写入包括windows、system32、inf、, drivrs等系统关键目录在内的12个目录110个文件,文件列表如下:, ,1,system32RunAfterSetup.exe,9,0,32, ,2,system32sys.dat,9,0,32, ,3,system32poppo.dll,1,0,32, ,4,system32sysEx.dat,1,0,32, ,5,system32appface.dll,1,0,32, ,6,system32xabout.dat,1,0,32, ,7,system32x100.dat,1,0,32, ,8,system32x200.dat,1,0,32, ,9,system32x300.dat,1,0,32, ,10,system32x400.dat,1,0,32, ,11,system32xnet2_lang.ini,9,0,32, ,12,system32bnrfil.dat,1,0,32, ,13,system32bsnlst.dat,1,0,32, ,14,system32csnews.dat,1,0,32, ,15,system32gdwfil.dat,1,0,32, ,16,system32TrustUrl.dat,1,0,32, ,17,system32wfileu.dat,1,0,32, ,18,system32xwordh.dat,1,0,32, ,19,system32xwordl.dat,1,0,32, ,20,system32xwordm.dat,1,0,32, ,21,system32auctfil.dat,1,0,32, ,22,system32chtfil.dat,1,0,32, ,23,system32cultfil.dat,1,0,32, ,24,system32entfil.dat,1,0,32, ,25,system32finfil.dat,1,0,32, ,26,system32fmfil.dat,1,0,32, ,27,system32fshrfil.dat,1,0,32, ,28,system32gblfil.dat,1,0,32, ,29,system32gnfil.dat,1,0,32, ,30,system32hatfil.dat,1,0,32, ,31,system32iawfil.dat,1,0,32, ,32,system32imgfil.dat,1,0,32, ,33,system32jbfil.dat,1,0,32, ,34,system32lgwfil.dat,1,0,32, ,35,system32movfil.dat,1,0,32, ,36,system32mp3fil.dat,1,0,32, ,37,system32nvgamfil.dat,1,0,32, ,38,system32perfil.dat,1,0,32, ,39,system32picsfil.dat,1,0,32, ,40,system32pkmon.dat,1,0,32, ,41,system32popfil.dat,1,0,32, ,42,system32psyfil.dat,1,0,32, ,43,system32sporfil.dat,1,0,32, ,44,system32swfil.dat,1,0,32, ,45,system32tafil.dat,1,0,32, ,46,system32tapfil.dat,1,0,32, ,47,system32vgamfil.dat,1,0,32, ,48,system32viofil.dat,1,0,32, ,49,system32wrestfil.dat,1,0,32, ,50,system32wzfil.dat,1,0,32, ,51,system32adwfil.dat,1,0,32, ,52,system321.urf,1,0,32, ,53,system322.urf,1,0,32, ,54,system323.urf,1,0,32, ,55,system324.urf,1,0,32, ,56,system325.urf,1,0,32, ,57,system326.urf,9,0,32, ,58,system327.urf,9,0,32, ,59,system32goldlock.exe,9,0,32, ,60,system32filtport.dat,9,0,32, ,61,system32x100.jpg,9,0,32, ,62,system32x200.jpg,9,0,32, ,63,system32x300.jpg,9,0,32, ,64,system32x400.jpg,9,0,32, ,65,system32x500.jpg,9,0,32, ,66,system32win2kspi.reg,9,0,32, ,67,system32winxpSpi.reg,9,0,32, ,68,system32Win98Spi.reg,9,0,32, ,69,system32adwapp.dat,9,0,32, ,70,system32XFimage.xml,9,0,32, ,71,system32FImage.dll,9,0,32, ,72,system32Xtool.dll,9,0,32, ,73,system32Xcv.dll,9,0,32, ,74,system32xcore.dll,9,0,32, ,75,system32x600.jpg,9,0,32, ,76,system32wfile.dat,9,0,32, ,77,system32winvista.reg,9,0,32, ,78,system32IPGate.dll,9,0,32, ,79,system32gn.exe,29,0,32, ,80,system32looklog.exe,29,0,32, ,81,system32lookpic.exe,29,0,32, ,82,system32xconfigs.dat,29,0,32, ,83,system32XNet2.exe,29,0,32, ,84,system32XDaemon.exe,29,0,32, ,85,system32kwdata.exe,29,0,32, ,86,system32Update.exe,29,0,32, ,87,windowslogdesktop.ini,1,0,32, ,87,windowssnapdesktop.ini,1,0,32, ,88,windowshelpkw.chm,17,0,32, ,89,windowsHNCLIBFalunWord.lib,29,0,32, ,90,windowsimage.dat,9,0,32, ,91,windowsimage1.dat,1,0,32, ,92,windowsCardLib.dll,9,0,32, ,93,windowscximage.dll,9,0,32, ,94,windowsdbfilter.dll,9,0,32, ,95,windowsSurfgd.dll,29,0,32, ,96,windowsdbServ.dll,29,0,32, ,97,windowsCImage.dll,29,0,32, ,98,windowsHandler.dll,29,0,32, ,99,windowsHASrv.dll,29,0,32, ,100,windowsHncEng.exe,29,0,32, ,101,windowsHncEngPS.dll,29,0,32, ,102,windowsInjLib32.dll,29,0,32, ,103,windowsMPSvcDll.dll,29,0,32, ,104,windowsMPSvcPS.dll,29,0,32, ,105,windowsSentenceObj.dll,29,0,32, ,106,windowsMPSvcC.exe,29,0,32, ,107,windowsvnew.bmp,29,0,32, ,108,windowsxstring.s2g,29,0,32, ,109,windowskwselectinfopp.dll,5,0,32, ,110,windowskwimage.dll,29,0,32, 安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行, system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。, 接下来我们再看看绿BA在作用状态下都做了什么。, 安装绿BA之后将会有四个进程和一个驱动被调入内存。, system32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护, system32XNet2.exe绿BA的主程序,运行后将会启用两个线程分别监听udp, 1234和1204端口:, windowsHncEng.exe, 服务进程, windowsMPSvcC.exe, 看着很像微点吧,但是这是假象,其实它也是绿BA的服务进程。, Driversmgtaki.sys, 安装完成后被写入的驱动文件,目的不明。, 软件卸载时也不会被移除。, 绿BA运行过程中会定时向/进行被过滤, 黑名单的更新。同时会另外启用两个 xnet2.exe线程,与211.161.1.134 和, 203.171.236.231进行通讯,后者ip为河南郑州景安计算机网络,前者是北京长, 宽的一个ip,具体来源不明。, 大家都知道绿BA在运行过程中会记录网站的访问和每隔三分钟对系统进行一, 次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不, 明的监听和通讯中,不会把这些内容给发送出去。, 更可疑的是,在xnet2.exe的语言文件xnet2_lang.ini中有这么一行, - Show quoted text -, AOption0_1117=发现不良网站自动向金惠公司报告。, 而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自, 己说宣称的那样,只是对web访问进行监控,其进行监控的软件包括却不仅仅限, 于以下几十种:, wow.exe, yahoomessenger.exe, wangwang.exe, start.exe, uc.exe, icq.exe, skype.exe, eph.exe, sgr.exe, qqgame.exe, qqchat.exe, qq.exe, bitbomet.exe, editplus.exe, uedit32.exe, emeditor.exe, wordpad.exe, notepad.exe, wps.exe, wpp.exe, et.exe, powerpnt.exe, frontpg.exe, excel.exe, msaccess.exe, outlook.exe, winword.exe, mailmagic.exe, popo.exe, qqmail.exe, aixmail.exe, imapp.exe, incmail.exe, msimn.exe, dm2005.exe, foxmail.exe, googletalk.exe, miranda32.exe, imu.exe, ypager.exe, tmshell.exe, start.exe, uc.exe, icqchatrobot.exe, qq.exe, msnmsgr.exe, gsfbwsr.exe, greenbrowser.exe, touchnet.exe, theworld.exe, maxthon.exe, ttraveler.exe, netscp.exe, ge.exe, firefox.exe, opera.exe, netcaptor.exe, myie.exe, iexplore.exe, mmc.exe, regedit.exe, taskmgr.exe, mpsvcc.exe, xdaemon.exe, xnet2.exe, (以上信息来自SoFuc.Com所进行的逆向), 绿BA还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。, 该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的, 网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐, 号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁可能保证,它, 没有在这样做呢?, 除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件, filtport.dat定义了如下内容:, FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代, 理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的, 端口 来禁止我们使用代理服务器。具体目的不言而喻,一句话概括:, 内滤霸(绿BA),外神盾(GFW),双剑合璧,天下无敌。, 如此强悍的设计,那我们这套价值4000万的软件就真的如此物超所值了吗?, 实际上并非如此。由于先天的技术缺陷和粗制滥造,使得软件存在许多脑残, 问题。譬如,绿BA并不像它所宣称的那样,对全系列Windows都能够完美支持。, 在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。, 而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。, 即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过 滤功能,居然, 只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷, 歌这类非IE内核浏览器时,更是一点反映都没有。绿BA,色情网站和平共处,甚, 是和谐。, 那么作为一款过滤软件,自身保护能力应该很强吧?绿BA的答案是不,这让, 我们再一次跌破另一副眼镜。它的四个进程除了以两个为一组,有交互保护(当, 其中一个被结束,另一个将会重新运行它)之外,其他可以说是一点防护都没有。, 就不要说用冰剑之类的工具,就连常见的文件粉碎机就可以将其置于死地。, 更可笑的,它的程序员们还犯了一个更加低级的错误。绿BA的管理密码,通, 过类似于MD5的加密之后,储存在WINDOWSsystem32kwpwf.dll 文件中,搞笑的是, 该文件并没有受到任何程序的保护,单凭一记事本就可以大改其中内容。我们只, 要把知道密码的绿BA的 WINDOWSsystem32kwpwf.dll文件中的内容复制到不知道, 密码的那个绿BA的WINDOWSsystem32kwpwf.dll下,就相当于改变其密码了。也就, 是说,我们只要把WINDOWSsystem32kwpwf.dll的内容改为, “D0970714757783E6CF17B26FB8E2298F”,那么绿BA的管理密码就变回了默认的, 112233。, 这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,却换, 来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花, 费的金额如果不占这笔巨款的一半都不会有人信。, 最后我们来试着通过绿BA所提供的卸载途径卸载了它,看看这号称可以自由, 装卸,自由停用的软件是什么一副流氓嘴脸。, 绿BA在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于, 添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿BA的设置中。, 然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的, 110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序, 甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。, 未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除这, 是判断流氓软件的两条准则,而这个绿BA完美得全部符合。, 4000 万,4000万纳税人的血汗钱就换来了这么一个流氓软件。它的存在真, 的是为了保护未成人收到色情网站的毒害吗?未必,论网站过滤,9几年的美萍, 做的比它要好。甚至不用付出任何费用。监视大量应用程序,定时对系统进行截, 图,对代理软件进行封锁,然后将用户电脑中的各种资料秘密传往某处。, 绿BA,不,应该说是滤霸,它只不过是一个由纳税人买单,在种种潜规则和, 层层压榨油水之后所形成的一个GFW工程的副产品罢了,而这笔巨额开支,也只, 不过是整个GFW体系中的冰山一角。而已。, 这价值4000万的神秘软件究竟是个什么样,让我们看看。, 开场白就免了,直接进入正题。,价值4000万的过滤软件“绿BA”分析报告
返回列表