|
|
18# zjd713
哈哈,zjd不要裝了,你如果是專業人士的話,就沒有所謂的專業人士了。既然喜歡專業,那就貼一個專業一些的內容。
4.技術架構分析 Technical Framework Analysis
程序結構 software architecture
綠壩-花季護航」所有的文件都安裝在系統目錄(%WinDir%和%WinSysDir%)下,程序菜單沒有提供卸載入口,后發現卸載功能在主程序的一個菜單里。在啟用「綠壩-花季護航」的圖片過濾功能時,軟體自動清除的瀏覽器緩存。
在%WinDir%目錄下的xstring.s2g存放著該軟體所有文件的安裝路徑。
運行時載入的模塊:
驅動: C:Windows\system32\Drivers\mgtaki.sys
服務: C:Windows\MPSvcC.exe
啟動項: C:Windows\system32\xnet2.exe
During operation, Green Dam installs the following modules:
Drivers: C:Windows\system32\Drivers\mgtaki.sys
Service: C:Windows\MPSvcC.exe
Launch: C:Windows\system32\xnet2.exe
經鑒定 ,是XDaemon.exe、XNet2.exe、gn.exe三個程序相互保護,防止被刪掉和結束進程。 這是一種通常被病毒和流流氓軟體所使用的技術。
綠壩將密碼用MD5演演算法轉換后,以文本方式保存在system32目錄下的kwpwf.dll文件中。以記事本打開該文件,以「D0970714757783E6CF17B26FB8E2298F」替換其內容后保存,即可將密碼恢復為初始密碼「112233」。
綠壩的通過網路自動更新,同目錄下裡面還包含一張美女圖不知是何用意。在經過網路用戶的分析后,發現 http://www.zzjinhui.com/softpatch/kwupdate.dat 此文件和屏蔽關鍵詞和URL有關。有2個相關IP:211.161.1.134和 203.171.236.231,其中第二個IP指向 河南省鄭州市景安計算機網路技術有限公司。(zzidc.com.cn)——(已失效)
5.內容檢測技術 contents detection methods
圖像過濾 Image filtering
圖像檢測進程從待檢圖像隊列中獲取圖像數據,先歸一化圖像尺寸,然後分離膚色區域和非膚色區域,在對膚色區域關係進行分析後去除干擾,提取區域的特徵送入已訓練SVM分類器。當圖像被檢為色情圖像後送入人臉檢測器,若人臉不是主要部分便確定為色情圖像。這套演演算法的主要問題是,色情圖像的識別嚴重依賴於膚色和膚色形狀;而最後使用人臉檢測加權判定也只是手工打補丁避免出現大幅人臉識別為色情圖像問題的辦法,且經驗權值可靠性缺乏驗證。
從XFImage.xml可觀察到,綠霸使用了OpenCV的haar分類器進行人臉檢測。綠霸附帶的cximage.dll、CImage.dll、xcore.dll和Xcv.dll也來自OpenCV的庫文件。都反映出綠霸主要使用了OpenCV來進行圖像方面的處理。不過就像一般國產軟體的做法,綠霸大概也無視了OpenCV的BSD許可證。
金惠公司承諾圖像檢測正檢率>90%,誤檢率<7%,而檢出率 = 正檢率*色情圖像比例 + (1 – 誤檢率)*(1–色情圖像比例),在色情圖像佔1%時,檢出率為93%。
文字過濾 Text filtering
對政治性內容的分析,包括內容的過濾,使用了北京大正語言知識處理科技有限公司提供的文字過濾引擎HncEng.exe、HncEngPS.dll、SentenceObj.dll,數據文件HNCLIB/FalunWord.lib 中還包含以UTF-32LE編碼的除外大量政治和色情有關的辭彙。
從數據文件HNCLIB/FalunWord.lib中分析出來的關鍵詞列表;更完整的解析出的關鍵詞。
UMich的團隊報告通過反向工程解出了綠霸安裝在system32下的若干dat加密文件的解碼方式,經過解碼發現多數dat文件來自美產過濾軟體CYBERsitter的關鍵字列表(在解密后的csnews.dat中發現了CYBERsitter的Readme內容原封不動地拷貝下來),另外幾個dat文件(xword?.dat)則主要包含關於色情、政治和的辭彙。
應用程序屏蔽 Application screening
對應用程序使用時間的控制 Regarding control over application usage time
金惠公司稱,綠霸可以禁止各種網路遊戲(如征途、魔獸世界)、聊天(如QQ、MSN)等程序,定製黑白名單過濾實效更強,阻斷以代理伺服器或代理類軟體而躲避網址屏蔽的匿名瀏覽(如自由門) (金惠堵截黃色圖像及不良信息專家系統FAQ-20080520)。
在system32中的filtport.dat 文件 ,默認內容是FreeGate/8567/tcp Urf/9666/tcp,推測就是對自由門和無界軟體進行屏蔽的配置文件。
兩個進程:xdaemon.exe和xnet2.exe,進入無界頁面會.....
控制技術 controlling techniques
金惠公司稱,綠霸軟體能夠控制未成年人上網、QQ、MSN及遊戲的時間,避免過度沉溺於網路,有效戒除網癮(談判響應書);
應用程序監控 application monitoring
經過測試,發現如果在記事本或者WordPad中輸入任何「」字樣,都會關閉應用程序,但是在繪圖板和MSN中輸入這些字則不會有反應,這也說明其程序的不完備性。
部分反編譯的內容發現有多種應用程序是其監控的對象。
00468940 .wow.exe.魔獸世界....yaho
00468980 omessenger.exe..雅虎通..wangwang.exe....阿里旺旺....start.exe...
004689C0 網易POPO....網易popo....uc.exe..新浪UC..新浪uc..icq.exe.ICQ6....
00468A00 icq6....skype.exe...Skype...skype...eph.exe.e話通...doshow..msnm
00468A40 sgr.exe.MSN.msn messenger...qqgame.exe..QQ遊戲..qq遊戲..qqchat.e
00468A80 xe..QQ聊天室....qq聊天室....qq.exe..QQ..qq2.bitbomet.exe....BitC
00468AC0 omet....bitcomet....
從injlib.exe中(偏移地址0x89e8)提取出的字串,反映出一部分可能受監控的程序:
editplus.exe uedit32.exe emeditor.exe wordpad.exe notepad.exe wps.exe wpp.exe et.exe powerpnt.exe frontpg.exe excel.exe msaccess.exe outlook.exe winword.exe mailmagic.exe popo.exe
qqmail.exe aixmail.exe imapp.exe incmail.exe msimn.exe dm2005.exe foxmail.exe googletalk.exe miranda32.exe imu.exe ypager.exe tmshell.exe start.exe uc.exe icqchatrobot.exe qq.exe msnmsgr.exe gsfbwsr.exe greenbrowser.exe touchnet.exe theworld.exe maxthon.exe ttraveler.exe netscp.exe ge.exe firefox.exe opera.exe netcaptor.exe myie.exe iexplore.exe mmc.exe regedit.exe taskmgr.exe
mpsvcc.exe
xdaemon.exe
xnet2.exe
幾乎市面上所有常見文本編輯工具(EditPlus, UltraEdit, EmEditor)、辦公軟體(WPS三部件,MS Office系列)、郵件客戶端、IM客戶端、瀏覽器都會受到監視。
網路監控 Internet monitoring
金惠公司在文檔中稱,「綠壩」通過Winsock2的SPI介面獲取發送和接收的數據,對這些數據進行分析,獲取HTTP數據,將HTTP協議數據解析后,經過URL檢測器,不良URL檢測器和關鍵字檢測器后,根據檢測結果決定是否需要使用圖像檢測器,通過圖像檢測將新發現的不良網址提供給系統管理員。
被監控、屏蔽的關鍵詞、URL資料庫文件分析
現放出來自直接解密安裝路徑下的 .dat 文件的關鍵字列表,並稍加解說
wfile.dat - http://privatepaste.com/450zZe32hn
這個文件說明了過濾文件類型
TrustUrl.dat - http://privatepaste.com/4c0Q3tzzb0
信任網址。這些網站毫無疑問都是老大哥信得過的。值得全球站長屏蔽這些網站。這是濾霸軟體中最有價值的一份列表
vgamfil.dat - http://privatepaste.com/1auoil5bP2
所謂「暴力」遊戲類。都有屏蔽了什麼遊戲呢?Quake,Quake2,Quake3,你們PLA訓練用的counter-strike.net,F22 Raptor,古墓麗影(這也算暴力類?),古墓麗影II,星際爭霸(暴力類?我看是「封建迷信」吧?),暴雪母公司activision.com,duke4.com,萬年跳票的dukeforever.com,ff8online.com,half-life.com,stormtroopers.com,unreal.org等等。建議大家以後只打清廉戰士。
chtfil.dat - http://privatepaste.com/32hbY5XUgy
屏蔽了AOL,AIM,Yahoo,MSN
csnews.dat - http://privatepaste.com/bb1RyuqiVu
這個文件是最喜劇的,濾霸抄襲美國人的過濾庫就算了,還很臨時工的把cybersitter別人的readme文件一起抄過來了
entfil.dat - http://privatepaste.com/bd0qklsJuD
娛樂類過濾。這裡屏蔽了BSG和Firefly的scifi.com,StarTrek.com,StarWars.com,這樣Geek四大劇就被圍剿得一個不剩了。另外southpark、pokemon、xfiles和BritneySpears也是監視關鍵字。blizzard.com暴雪公司官方網站被屏蔽
finfil.dat - http://privatepaste.com/b414bkBNPv
金融類過濾。包括華爾街時報www.wsj.com,www.ft.com,www.sec.gov等
fmfil.dat - http://privatepaste.com/3d114bf1mD
電子郵件監控。hotmail.com,gmail.com,甚至www.mail開頭的都會受到特別關注。
fshrfil.dat - http://privatepaste.com/b8kPPu9ZiV
文件共享監控。監控市面上幾乎所有的P2P客戶端和軟體。gnutella, bearshare, emule, wrapster,
scourexchange, imesh, audiogalaxy, kazaa, filesharing, morpheus, limewire,
javalimewire, gnutella, wrapster, scourexchange, shareaza, kazaalite,
bittorrent, azureus
gdwfil.dat - http://privatepaste.com/49ftIfdRqJ
屏蔽了amazon.com,還有這款山寨軟體的祖宗cybersitter*.com,download.windowsupdate.com,liveupdate.symantec.com,symantec.liveupdate.com,microsoft.com,symantec.com,windowsupdate.com,zdnet.com。也就是說安裝了某軟體,Windows的補丁和殺毒軟體升級,要麼被監控,要麼就被直接屏蔽了。有人說這個文件是白名單,請問在同一個列表裡的amnesty.org,virgin-boys,porno-free.net這些東西也可能是白名單嗎?
imgfil.dat - http://privatepaste.com/cehwHinyM0
這裡屏蔽了很多圖片類網站,只要URL包含下列字元就會像GFW一樣被RST,例如google.ca/image,google.com/image,當然還有Yahoo的yahoo.com/image,還有視頻搜索屏蔽searchcat=vid,video.search.yahoo。請問老大哥究竟有什麼見不得人的東西要把圖片和視頻搜索統統屏蔽呢?
mp3fil.dat - http://privatepaste.com/f0uBTti5uh
mp3類。封殺了一些MP3共享軟體,例如gnutella, bearshare, wrapster, scourexchange, imesh, audiogalaxy, kazaa, filesharing, morpheus, limewire, gnutella, wrapster, scourexchange
wrestfil.dat - http://privatepaste.com/eapAh32NC8
摔跤類。主要是WWE美摔之類的被屏蔽了。沒有屏蔽K1,說明的確是抄襲cybersitter
pkmon.dat - http://privatepaste.com/580KvOFYV4 (POKEMON!)
文件名就很囧。這份名單貌似過濾了一些anime和manga
sporfil.dat - http://privatepaste.com/e20QeOlezv
體育類過濾。屏蔽了www.nba.com和wnba.com,還有其他的太多了。。。
--------------------分割線--------------------
下面的.dat文件內容,幾乎都來自cybersitter,山寨程度可見一斑
wfileu.dat - http://privatepaste.com/9c0oaeS0i1
這個網址就是cybersitter的升級地址了,居然還保留了。你說濾霸這軟體山寨不山寨?
wzfil.dat - http://privatepaste.com/170Epo2wTZ
遊戲破解
adwapp.dat - http://privatepaste.com/aey5BIlkyx
adult類網站過濾(嚴格)
adwfil.dat - http://privatepaste.com/091MdBUyDv
adult類網站過濾
lgwfil.dat - http://privatepaste.com/a1ndIrVvEn
同志類網站,不熟悉,不評價。
iawfil.dat - http://privatepaste.com/951A0xSKW2
非法類。照抄cybersitter的名單
auctfil.dat - http://privatepaste.com/f20vFALQPl
bnrfil.dat - http://privatepaste.com/76uATdcCsN
屏蔽廣告
bsnlst.dat - http://privatepaste.com/b6tJvZlQJN
cultfil.dat - http://privatepaste.com/dc1NtZn183
文化過濾,包括GeorgeKing,scientology,ChurchOfSatan一類的。還是抄襲cybersitter
gblfil.dat - http://privatepaste.com/53CXciru9I
貌似是賭博類。
gnfil.dat - http://privatepaste.com/c6lU71HHUT
槍支類。
hatfil.dat - http://privatepaste.com/1005oQLOJv
種族仇恨類。
jbfil.dat - http://privatepaste.com/7d1cmQ7bdW
招聘類。
movfil.dat - http://privatepaste.com/99cMT8Xjyr
電影類
nvgamfil.dat - http://privatepaste.com/9aYQOBgQoU
又一個遊戲類過濾。nv game filter.dat?
perfil.dat - http://privatepaste.com/7driTj667b
sex類過濾
picsfil.dat - http://privatepaste.com/34TI4cSbZE
popfil.dat - http://privatepaste.com/c10gAsIEuq
廣告彈窗類過濾
psyfil.dat - http://privatepaste.com/ae0GA79ZFm
封建迷信和超自然類過濾。
swfil.dat - http://privatepaste.com/aeSIsoDlKd
盜版軟體過濾。
tafil.dat - http://privatepaste.com/26FTx1Dfjz
酒精類過濾。抄襲cybersitter的名單
tapfil.dat - http://privatepaste.com/ae0UoosGMk
紋身類過濾。
viofil.dat - http://privatepaste.com/f79OiqXC6J
暴力自殺類。
用戶體驗 User experience
通過實際測試和用戶反饋,發現綠壩的宣稱功能的實現能力並不強,卻沒有避免在各個層面添加很多沒有宣稱的功能。部分用戶的使用體驗和討論:
http://blog.sina.com.cn/s/blog_4b862d070100doj4.html
http://club.cat898.com/newbbs/dispbbs.asp?BoardID=1&id=2853590
http://www.meirendaddy.com/blog/?p=404
http://tieba.baidu.com/f?kz=591097210
知識產權侵害 Copyright infringement
綠霸受到以下指控:
違反BSD許可證在軟體中使用OpenCV庫
將OpenCV的演演算法和技術用於申請專利
抄襲美產過濾軟體CYBERsitter的關鍵字列表(猜測應該還有更多代碼抄襲)
證據請見前。
|
|
狗仔卡
樓主
