最近"绿坝"闹的是沸沸扬扬,一个4000W的软件,刚出现就出现各种漏洞。这种情况让我们想到了什么?内幕,黑箱?先不谈软件的价钱,就谈软件的功能,这种过滤类软件很多,而绿坝无疑是最差的一个。就连小榕都说了,这种类似的软件他一个人都可以搞定。过滤软件是给孩子一个绿色上网环境。而绿坝可安装,可卸载,可破解,甚至就连里边的色情网站过滤列表都被破解出来了。像这样的软件真的能够给我们带来完美的网络环境么?答案是不能!!今天我就浅谈一下绿坝的各种漏洞,包括密歇根大学的溢出报告,如何卸载绿坝,如何更改绿坝密码,如何破解绿坝过滤网站的数据库列表。
绿坝溢出漏洞
绿坝刚出现不到几天的时间,密歇根大学就已经做出报告,轻而易举的找到了两个绿坝的漏洞。通过这两个漏洞,我们可以做出木马,当安装绿坝的用户访问了挂上木马的网站,那台电脑就已经成为黑客手中的肉鸡。现在所有出产的机器必须安装绿坝,那么这些机器就是木马的温床。就等着被上了。而暴风影音事件会即将重现。
密歇根大学关于绿坝的漏洞分析告(英文不好的同学自己用Google翻译)
Analysis of the Green Dam Censorware System
CCF里边的牛人做出的超长字符串缓冲区溢出崩浏览器的demo
http://wolchok.org:8000/
如何破解更改绿坝密码
绿坝的管理密码,通过MD5的32位加密之后,储存在windows\system32\kwpwf.dll 文件中
我们之需要替换这个MD5加密码就可以达到更改密码的目的。
将被加密的密码换成D0970714757783E6CF17B26FB8E2298F,密码就会变为默认的112233,也可以用MD5生成工具生成其他密码。替换即可
附上 kwpwf.dll 文件下载
kwpwf.zip
如果不会用MD5,直接下载刚开始安装默认的kwpwf.dll 文件,覆盖到windows\system32中,密码也会变为默认的112233
如何卸载绿坝
卸载绿坝的方法很多,就连它自己的帮助文档中都写了如何卸载绿坝。不过用它自己卸载的方法卸载不赶紧,而且会继续运行监控程序,简直是个流氓。
1. 如果知道密码,直接进入【绿坝维护】 密码/卸载选项 点击卸载即可,不知道密码可以通过上边写的两种方法破解密码,然后卸载(据说此方法卸载不完全,不推荐使用)
2. 运行360安全卫士,选择管理软件。在软件列表里找到“绿坝-花季护航”,点删除。用360安全卫士卸载
如何破解绿坝数据库加密文件
绿坝安装在system32目录下,安装共写入包括windows、system32、inf、driver 等系统关键目录在内的12个目录110个文件,所有不良URL都被绿坝写入不同的dat文件,让你不能轻易找到和修改。遗憾的是,绿坝刚刚公布,就有网民将这些数据库破解并公之于众,根据公布的结果,不良URL数据库被分为vgamfil.dat(暴力游戏类)、gnfil.dat (枪支类)、imgfil.dat(图片类)、adwapp.dat(成人色情类严格)、adwfil.dat(成人色情类)、lgwfil.dat (同性恋类)和 iawfil.dat(非法类)等等。
通过记事本打开这些DAT文件,我们发现内容全被加密了,类似这样的内容
I7olo\ok^AK:JeJ>k>ZMKhjCK^;o^R:_:S:1YA
YG_\_LO;Ko;\;5Z?j=:a[oNRZ_JCJaiQ
9WO]O\OL?iGOlNaJNJUK6Z][^K>:i^bZo:C:aiA
YWo=_bjOZCJQI1
ig?Mo9W_=_l_L[lk>:iZ[:b:]ZRkHK\:5J_[oNbJ?:Cj19Q
通过和冰剑一起研究,搜索,找到解密的工具,是利用C++编译而成,使用方法如下
程序.exe 要解密的文件路径
举例:假如需要解密xwordm.dat文件,使用命令行"dec.exe xwordm.dat"
破译绿坝加密数据库工具及源码下载
绿坝数据文件解密.rar
绿坝可以被解密的DAT文件打包下载
绿坝 可以 被解密的数据文件.rar
绿坝被隐瞒的一些信息
之所以说绿坝是脑残产品,是因为绿坝是个豆腐渣工程,没有测试完毕就开始发布了。
从网上高手对其进行逆向工程,而得来的数据来看,该软件并不像它自己宣称的那样,只是对web访问进行监控,其进行监控的软件包括QQ,WOW,记事本,UC,火狐浏览器等等几十种软件。绿坝还对IE浏览器进程注入dll,以至于被360当成恶意插件报毒。该软件在监控时将发起大量的全局钩子,也就是说,只要它想,我们所看的网页,和别人聊天的内容,下载的东西,网购的物品,信箱里的邮件,游戏的帐号,设置与编写的文档,做的ppt都可以被它轻易搞到手。
太可怕了,简直就是个木马嘛。
除此之外,该软件还做了一些不能见光的手脚。它的端口配置文件filtport.dat定义了如下内容
FreeGate/8567/tcp Urf/9666/tcp
这个文件的作用很明显,屏蔽常见的代理软件FreeGate。在未来的更新中它更是可以在其中加入3128 1080 8080之类的端口来禁止我们使用代理服务器。防止我们翻墙。
最后我们来试着通过绿坝所提供的卸载途径卸载了它,看看这号称可以自由装卸,自由停用的软件是什么一副流氓嘴脸。
绿坝在正常安装之后开始菜单中并不会创建其卸载程序的快捷方式,甚至于添加删除程序中都没有相关内容。那卸载项藏在哪儿呢?答案在绿坝的设置中然而即使我们使用它所提供的卸载功能对其进行卸载之后,文章一开始所提到的110个文件还会有多一半存在于我们的系统中,纹丝不动。重启之后其监控程序甚至还会大摇大摆的出现在我们的进程当中,不过这次不再提供管理面板就是了。
未经用户同意强制安装(强行预装),通过其卸载程序无法将其完整移除,这是判断流氓软件的两条准则,而我们的绿坝完美的全部符合。
绿坝的缺陷
绿坝并不像它所宣称的那样,对全系列Windows都能够完美支持。在XP以下系统漏洞百出,尤其是IE版本低下时,更是充当了“摆设”的作用。而在Vista下经常完美的被用户账户控制干掉,且十分不稳定。即使在状态最佳的XP下,也有让人跌破眼镜的表现。网站过滤功能,居然只能在IE下生效,即使是同属IE内核的遨游之流都能时常时它失效。用火狐,谷歌这类非IE内核浏览器时,更是一点反映都没有。绿坝,色情网站和平共处,甚是和谐。
总结
这软件的设计者是猪啊,4000多万,都够开发一套小型的OS的成本了,确换来如此粗制滥造,设计低劣的软件的仅仅一年的使用权?合法招标?潜规则所花费的金额如果不占这笔巨款的一半都不会有人信。
Referrence:
Kindro Space
Analysis of the Green Dam Censorware System
无瑕的空间