Post by sspring;2266069
这价值4000万的神秘软件究竟是个什么样,让我们看看。
软件版本为3.17
绿坝采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下随机生成临时文件夹,释放安装文件。
- Show quoted text -
然后调用该目录下setup.exe开始安装。
绿坝安装在system32目录下,安装共写入包括windows、system32、inf、drivrs等系统关键目录在内的12个目录110个文件
安装结束时在注册表 HKLMSOFTWAREMicrosoft 下写入 xnet2键值。并运行 system32xnet2.exe 由该程序负责自启动项和服务等的添加工作。
接下来我们再看看绿坝在作用状态下都做了什么。
安装绿坝之后将会有四个进程和一个驱动被调入内存。
system32XDaemon.exe守护进程,与Xnet2.exe实现交叉保护
system32XNet2.exe绿坝的主程序,运行后将会启用两个线程分别监听udp 1234和1204端口:
windowsHncEng.exe
服务进程
windowsMPSvcC.exe
看着很像微点吧,但是这是假象,其实它也是绿坝的服务进程。
Driversmgtaki.sys
安装完成后被写入的驱动文件,目的不明。
软件卸载时也不会被移除。
绿坝运行过程中会定时向http://www.zzjinhui.com/softpatc ... ,与211.161.1.134 和 203.171.236.231进行通讯,后者ip为 河南郑州景安计算机网络 ,前者是北京长宽的一个ip,具体来源不明。
大家都知道绿坝在运行过程中会记录网站的访问和每隔三分钟对系统进行一次截屏,虽然官方信誓旦旦宣称不会泄露用户信息,但是很难保证在这些行为不明的监听和通讯中,不会把这些内容给发送出去。
而且从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己说宣称的那样,只是对web访问进
行监控,其进行监控的软件包括却不仅仅限于以下几十种
绿坝还对ie浏览器进程注入dll,以至于被360当成恶意插件报毒。
该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的
东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。又有谁
可能保证,它没有在这样做呢?
除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容:
FreeGate/8567/tcp Urf/9666/tcp 这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它
更是可以在其中加入3128 1080 8080之类的端口 来禁止我们使用代理服务器。具体目的不言而喻,一句话概括:内滤霸(绿坝),外神盾(GFW),双剑合璧,天下无敌。
被其监控的电脑程序附录(估计将来会不断的更新)
wow.exe
yahoomessenger.exe
wangwang.exe
start.exe
uc.exe
icq.exe
skype.exe
eph.exe
sgr.exe
qqgame.exe
qqchat.exe
qq.exe
bitbomet.exe
editplus.exe
uedit32.exe
emeditor.exe
wordpad.exe
notepad.exe
wps.exe
wpp.exe
et.exe
powerpnt.exe
frontpg.exe
excel.exe
msaccess.exe
outlook.exe
winword.exe
mailmagic.exe
popo.exe
qqmail.exe
aixmail.exe
imapp.exe
incmail.exe
msimn.exe
dm2005.exe
foxmail.exe
googletalk.exe
miranda32.exe
imu.exe
ypager.exe
tmshell.exe
start.exe
uc.exe
icqchatrobot.exe
qq.exe
msnmsgr.exe
gsfbwsr.exe
欢迎光临 蒙城华人网 (https://www.sinoquebec.com/) | Powered by Discuz! X3.1 |