Posted on 2009-06-13 15:00
不需要解釋 閱讀(205)
評論(0) 編輯 收藏
真正的驢爸關鍵詞列表流出,直接破解自安裝目錄.dat文件,讓你感受毛骨悚然的監控
歡迎不署名不寫出處轉載。
首先分析驢爸的二進制文件。injlib32.exe, 偏移量 89e8H
000089e0h: F8 89 00 10 E8 89 00 10 65 64 69 74 70 6C 75 73 ; 鴫..鑹..editplus
000089f0h: 2E 65 78 65 00 00 00 00 75 65 64 69 74 33 32 2E ; .exe....uedit32.
00008a00h: 65 78 65 00 65 6D 65 64 69 74 6F 72 2E 65 78 65 ; exe.emeditor.exe
00008a10h: 00 00 00 00 77 6F 72 64 70 61 64 2E 65 78 65 00 ; ....wordpad.exe.
00008a20h: 6E 6F 74 65 70 61 64 2E 65 78 65 00 77 70 73 2E ; notepad.exe.wps.
00008a30h: 65 78 65 00 77 70 70 2E 65 78 65 00 65 74 2E 65 ; exe.wpp.exe.et.e
00008a40h: 78 65 00 00 70 6F 77 65 72 70 6E 74 2E 65 78 65 ; xe..powerpnt.exe
00008a50h: 00 00 00 00 66 72 6F 6E 74 70 67 2E 65 78 65 00 ; ....frontpg.exe.
00008a60h: 65 78 63 65 6C 2E 65 78 65 00 00 00 6D 73 61 63 ; excel.exe...msac
00008a70h: 63 65 73 73 2E 65 78 65 00 00 00 00 6F 75 74 6C ; cess.exe....outl
00008a80h: 6F 6F 6B 2E 65 78 65 00 77 69 6E 77 6F 72 64 2E ; ook.exe.winword.
00008a90h: 65 78 65 00 6D 61 69 6C 6D 61 67 69 63 2E 65 78 ; exe.mailmagic.ex
00008aa0h: 65 00 00 00 70 6F 70 6F 2E 65 78 65 00 00 00 00 ; e...popo.exe....
00008ab0h: 71 71 6D 61 69 6C 2E 65 78 65 00 00 61 69 78 6D ; qqmail.exe..aixm
00008ac0h: 61 69 6C 2E 65 78 65 00 69 6D 61 70 70 2E 65 78 ; ail.exe.imapp.ex
00008ad0h: 65 00 00 00 69 6E 63 6D 61 69 6C 2E 65 78 65 00 ; e...incmail.exe.
00008ae0h: 6D 73 69 6D 6E 2E 65 78 65 00 00 00 64 6D 32 30 ; msimn.exe...dm20
00008af0h: 30 35 2E 65 78 65 00 00 66 6F 78 6D 61 69 6C 2E ; 05.exe..foxmail.
00008b00h: 65 78 65 00 67 6F 6F 67 6C 65 74 61 6C 6B 2E 65 ; exe.googletalk.e
00008b10h: 78 65 00 00 6D 69 72 61 6E 64 61 33 32 2E 65 78 ; xe..miranda32.ex
00008b20h: 65 00 00 00 69 6D 75 2E 65 78 65 00 79 70 61 67 ; e...imu.exe.ypag
00008b30h: 65 72 2E 65 78 65 00 00 74 6D 73 68 65 6C 6C 2E ; er.exe..tmshell.
00008b40h: 65 78 65 00 73 74 61 72 74 2E 65 78 65 00 00 00 ; exe.start.exe...
00008b50h: 75 63 2E 65 78 65 00 00 69 63 71 63 68 61 74 72 ; uc.exe..icqchatr
00008b60h: 6F 62 6F 74 2E 65 78 65 00 00 00 00 71 71 2E 65 ; obot.exe....qq.e
00008b70h: 78 65 00 00 6D 73 6E 6D 73 67 72 2E 65 78 65 00 ; xe..msnmsgr.exe.
00008b80h: 67 73 66 62 77 73 72 2E 65 78 65 00 67 72 65 65 ; gsfbwsr.exe.gree
00008b90h: 6E 62 72 6F 77 73 65 72 2E 65 78 65 00 00 00 00 ; nbrowser.exe....
00008ba0h: 74 6F 75 63 68 6E 65 74 2E 65 78 65 00 00 00 00 ; touchnet.exe....
00008bb0h: 74 68 65 77 6F 72 6C 64 2E 65 78 65 00 00 00 00 ; theworld.exe....
00008bc0h: 6D 61 78 74 68 6F 6E 2E 65 78 65 00 74 74 72 61 ; maxthon.exe.ttra
00008bd0h: 76 65 6C 65 72 2E 65 78 65 00 00 00 6E 65 74 73 ; veler.exe...nets
00008be0h: 63 70 2E 65 78 65 00 00 67 65 2E 65 78 65 00 00 ; cp.exe..ge.exe..
00008bf0h: 66 69 72 65 66 6F 78 2E 65 78 65 00 6F 70 65 72 ; firefox.exe.oper
00008c00h: 61 2E 65 78 65 00 00 00 6E 65 74 63 61 70 74 6F ; a.exe...netcapto
00008c10h: 72 2E 65 78 65 00 00 00 6D 79 69 65 2E 65 78 65 ; r.exe...myie.exe
00008c20h: 00 00 00 00 69 65 78 70 6C 6F 72 65 2E 65 78 65 ; ....iexplore.exe
00008c30h: 00 00 00 00 6D 6D 63 2E 65 78 65 00 72 65 67 65 ; ....mmc.exe.rege
00008c40h: 64 69 74 2E 65 78 65 00 74 61 73 6B 6D 67 72 2E ; dit.exe.taskmgr.
00008c50h: 65 78 65 00 6D 70 73 76 63 63 2E 65 78 65 00 00 ; exe.mpsvcc.exe..
什么意思?驢爸軟件將監控下列軟件:
文本編輯軟件:EdiPlus,UltraEdit,EmEditor, 寫字板,記事本
辦公軟件:WPS的Word、Presentation、Spreadsheet,微軟的Word、Powerpoint、FrontPage、Excel、Access、Outlook
電子郵件客戶端:mailmagic.exe popo.exe qqmail.exe aixmail.exe imapp.exe incmail.exe msimn.exe dm2005.exe foxmail.exe
即時通訊工具:Google Talk,Miranda32,imu.exe,ypager.exe,騰訊QQ和TM,start.exe,新浪UC,ICQ,MSN
瀏覽器類:GoSuRF,GreenBrowser,TouchNet,TheWorld,MaxThone,騰訊套套瀏覽器,NetScape,Firefox(說明書里說只能監控到2.0版本),Opera,NetCaptor,MyIE,IE
系統工具類:mmc, regedit, taskmgr
在看看XNet2.exe,偏移量 68968h,看看驢爸將會監控那些程序
00068960h: B3 CC D0 F2 00 00 00 00 77 6F 77 2E 65 78 65 00 ; 程序....wow.exe.
00068970h: C4 A7 CA DE CA C0 BD E7 00 00 00 00 79 61 68 6F ; 魔獸世界....yaho
00068980h: 6F 6D 65 73 73 65 6E 67 65 72 2E 65 78 65 00 00 ; omessenger.exe..
00068990h: D1 C5 BB A2 CD A8 00 00 77 61 6E 67 77 61 6E 67 ; 雅虎通..wangwang
000689a0h: 2E 65 78 65 00 00 00 00 B0 A2 C0 EF CD FA CD FA ; .exe....阿里旺旺
000689b0h: 00 00 00 00 73 74 61 72 74 2E 65 78 65 00 00 00 ; ....start.exe...
000689c0h: CD F8 D2 D7 50 4F 50 4F 00 00 00 00 CD F8 D2 D7 ; 網易POPO....網易
000689d0h: 70 6F 70 6F 00 00 00 00 75 63 2E 65 78 65 00 00 ; popo....uc.exe..
000689e0h: D0 C2 C0 CB 55 43 00 00 D0 C2 C0 CB 75 63 00 00 ; 新浪UC..新浪uc..
000689f0h: 69 63 71 2E 65 78 65 00 49 43 51 36 00 00 00 00 ; icq.exe.ICQ6....
00068a00h: 69 63 71 36 00 00 00 00 73 6B 79 70 65 2E 65 78 ; icq6....skype.ex
00068a10h: 65 00 00 00 53 6B 79 70 65 00 00 00 73 6B 79 70 ; e...Skype...skyp
00068a20h: 65 00 00 00 65 70 68 2E 65 78 65 00 65 BB B0 CD ; e...eph.exe.e話?
00068a30h: A8 00 00 00 64 6F 73 68 6F 77 00 00 6D 73 6E 6D ; ?..doshow..msnm
00068a40h: 73 67 72 2E 65 78 65 00 4D 53 4E 00 6D 73 6E 20 ; sgr.exe.MSN.msn
00068a50h: 6D 65 73 73 65 6E 67 65 72 00 00 00 71 71 67 61 ; messenger...qqga
00068a60h: 6D 65 2E 65 78 65 00 00 51 51 D3 CE CF B7 00 00 ; me.exe..QQ游戲..
00068a70h: 71 71 D3 CE CF B7 00 00 71 71 63 68 61 74 2E 65 ; qq游戲..qqchat.e
00068a80h: 78 65 00 00 51 51 C1 C4 CC EC CA D2 00 00 00 00 ; xe..QQ聊天室....
00068a90h: 71 71 C1 C4 CC EC CA D2 00 00 00 00 71 71 2E 65 ; qq聊天室....qq.e
00068aa0h: 78 65 00 00 51 51 00 00 71 71 32 00 62 69 74 62 ; xe..QQ..qq2.bitb
00068ab0h: 6F 6D 65 74 2E 65 78 65 00 00 00 00 42 69 74 43 ; omet.exe....BitC
00068ac0h: 6F 6D 65 74 00 00 00 00 62 69 74 63 6F 6D 65 74 ; omet....bitcomet
00068ad0h: 00 00 00 00 B7 D6 CE F6 CD EA B3 C9 A1 A3 00 00 ; ....分析完成。..
具體的我就懶得寫了。凡是窗口標題欄有這些文字的統統會遭到監視。
搜索引擎監控,來自Surfgd.dll,偏移量16390h
00016390h: 2E 6D 73 6E 2E 63 6F 6D 00 00 00 00 2E 79 6F 6B ; .msn.com.....yok
000163a0h: 61 2E 63 6F 6D 00 00 00 2E 79 61 68 6F 6F 2E 63 ; a.com....yahoo.c
000163b0h: 6F 6D 00 00 2E 79 69 6D 67 2E 63 6F 6D 00 00 00 ; om...yimg.com...
000163c0h: 2E 62 61 69 64 75 2E 63 6F 6D 00 00 2E 63 6F 70 ; .baidu.com...cop
000163d0h: 79 73 6F 2E 63 6F 6D 00 2E 6D 61 70 62 61 72 2E ; yso.com..mapbar.
000163e0h: 63 6F 6D 00 2E 6E 65 74 73 75 6E 2E 63 6F 6D 00 ; com..netsun.com.
000163f0h: 2E 66 6F 6C 6F 64 61 2E 63 6F 6D 00 2E 6E 70 69 ; .foloda.com..npi
00016400h: 63 70 2E 63 6F 6D 00 00 2E 64 69 63 74 2E 63 6E ; cp.com...dict.cn
00016410h: 00 00 00 00 2E 79 6F 6B 2E 63 6F 6D 00 00 00 00 ; .....yok.com....
00016420h: 2E 7A 68 6F 6E 67 73 6F 75 2E 63 6F 6D 00 00 00 ; .zhongsou.com...
00016430h: 2E 73 6F 67 6F 75 2E 63 6F 6D 00 00 2E 79 61 68 ; .sogou.com...yah
00016440h: 6F 6F 2E 63 6F 6D 2E 63 6E 00 00 00 2E 73 6F 73 ; oo.com.cn....sos
00016450h: 6F 2E 63 6F 6D 00 00 00 2E 67 6F 6F 67 6C 65 2E ; o.com....google.
00016460h: 63 6E 00 00 2E 67 6F 6F 67 6C 65 2E 63 6F 6D 00 ; cn...google.com.
dbfilter.dll,這個是直接把你的Windows的winsock2給監聽了,也就是說所有從你網卡經過的每一個字節都會被掃描和分析。
現放出來自直接解密安裝路徑下的 .dat 文件的關鍵字列表,并稍加解說
wfile.dat - http://privatepaste.com/450zZe32hn
這個文件說明了過濾文件類型
TrustUrl.dat - http://privatepaste.com/4c0Q3tzzb0
信任網址。這些網站毫無疑問都是老大哥信得過的。值得全球站長屏蔽這些網站。這是驢爸軟件中最有價值的一份列表,這些網站都是XX喉舌
vgamfil.dat - http://privatepaste.com/1auoil5bP2
所謂“暴力”游戲類。都有屏蔽了什么游戲呢?Quake,Quake2,Quake3,PLA訓練用的counter-strike.net,F22 Raptor,古墓麗影(這也算暴力類?),古墓麗影II,星際爭霸(暴力類?我看是“封建迷信”吧?),暴雪母公司activision.com,duke4.com,萬年跳票的dukeforever.com,ff8online.com,half-life.com,stormtroopers.com,unreal.org等等。建議大家以后只打清廉戰士。
chtfil.dat - http://privatepaste.com/32hbY5XUgy
屏蔽了AOL,AIM,Yahoo,MSN
csnews.dat - http://privatepaste.com/bb1RyuqiVu
這個文件是最喜劇的,驢爸抄襲美國人的過濾庫就算了,還很臨時工的把cybersitter別人的readme文件一起抄過來了
entfil.dat - http://privatepaste.com/bd0qklsJuD
娛樂類過濾。這里屏蔽了BSG和Firefly的scifi.com,StarTrek.com,StarWars.com,這樣Geek四大劇就被圍剿得一個不剩了。另外southpark、pokemon、xfiles和BritneySpears也是監視關鍵字。blizzard.com暴雪公司官方網站被屏蔽
finfil.dat - http://privatepaste.com/b414bkBNPv
金融類過濾。包括華爾街時報www.wsj.com,www.ft.com,www.sec.gov等
fmfil.dat - http://privatepaste.com/3d114bf1mD
電子郵件監控。hotmail.com,gmail.com,甚至www.mail開頭的都會受到特別關注。
fshrfil.dat - http://privatepaste.com/b8kPPu9ZiV
文件共享監控。監控市面上幾乎所有的P2P客戶端和軟件。gnutella, bearshare, emule, wrapster,
scourexchange, imesh, audiogalaxy, kazaa, filesharing, morpheus, limewire,
javalimewire, gnutella, wrapster, scourexchange, shareaza, kazaalite,
bittorrent, azureus
gdwfil.dat - http://privatepaste.com/49ftIfdRqJ
屏蔽了amazon.com,還有這款山寨軟件的祖宗cybersitter*.com,download.windowsupdate.com,liveupdate.symantec.com,symantec.liveupdate.com,microsoft.com,symantec.com,windowsupdate.com,zdnet.com。也就是說安裝了某軟件,Windows的補丁和殺毒軟件升級,要么被監控,要么就被直接屏蔽了。有人說這個文件是白名單,請問在同一個列表里的amnesty.org,virgin-boys,porno-free.net這些東西也可能是白名單嗎?
imgfil.dat - http://privatepaste.com/cehwHinyM0
這里屏蔽了很多圖片類網站,只要URL包含下列字符就會像GFW一樣被RST,例如google.ca/image,google.com/image,當然還有Yahoo的yahoo.com/image,還有視頻搜索屏蔽searchcat=vid,video.search.yahoo。請問老大哥究竟有什么見不得人的東西要把圖片和視頻搜索統統屏蔽呢?
mp3fil.dat - http://privatepaste.com/f0uBTti5uh
mp3類。封殺了一些MP3共享軟件,例如gnutella, bearshare, wrapster, scourexchange, imesh, audiogalaxy, kazaa, filesharing, morpheus, limewire, gnutella, wrapster, scourexchange
wrestfil.dat - http://privatepaste.com/eapAh32NC8
摔跤類。主要是WWE美摔之類的被屏蔽了。沒有屏蔽K1,說明的確是抄襲cybersitter
pkmon.dat - http://privatepaste.com/580KvOFYV4 (POKEMON!)
文件名就很囧。Pokemon就是吃豆子游戲。這份名單貌似過濾了一些anime和manga
sporfil.dat - http://privatepaste.com/e20QeOlezv
體育類過濾。屏蔽了www.nba.com和wnba.com,還有其他的太多了。。。
--------------------分割線--------------------
下面的.dat文件內容,幾乎都來自cybersitter,山寨程度可見一斑
wfileu.dat - http://privatepaste.com/9c0oaeS0i1
這個網址就是cybersitter的升級地址了,居然還保留了。你說驢爸這軟件山寨不山寨?
wzfil.dat - http://privatepaste.com/170Epo2wTZ
游戲破解
adwapp.dat - http://privatepaste.com/aey5BIlkyx
adult類網站過濾(嚴格)
adwfil.dat - http://privatepaste.com/091MdBUyDv
adult類網站過濾
lgwfil.dat - http://privatepaste.com/a1ndIrVvEn
同志類網站,不熟悉,不評價。
iawfil.dat - http://privatepaste.com/951A0xSKW2
非法類。照抄cybersitter的名單
auctfil.dat - http://privatepaste.com/f20vFALQPl
bnrfil.dat - http://privatepaste.com/76uATdcCsN
屏蔽廣告
bsnlst.dat - http://privatepaste.com/b6tJvZlQJN
cultfil.dat - http://privatepaste.com/dc1NtZn183
文化過濾,包括GeorgeKing,scientology,ChurchOfSatan一類的。還是抄襲cybersitter
gblfil.dat - http://privatepaste.com/53CXciru9I
貌似是賭博類。
gnfil.dat - http://privatepaste.com/c6lU71HHUT
槍支類。
hatfil.dat - http://privatepaste.com/1005oQLOJv
種族仇恨類。
jbfil.dat - http://privatepaste.com/7d1cmQ7bdW
招聘類。
movfil.dat - http://privatepaste.com/99cMT8Xjyr
電影類
nvgamfil.dat - http://privatepaste.com/9aYQOBgQoU
又一個游戲類過濾。nv game filter.dat?
perfil.dat - http://privatepaste.com/7driTj667b
sex類過濾
picsfil.dat - http://privatepaste.com/34TI4cSbZE
popfil.dat - http://privatepaste.com/c10gAsIEuq
廣告彈窗類過濾
psyfil.dat - http://privatepaste.com/ae0GA79ZFm
封建迷信和超自然類過濾。
swfil.dat - http://privatepaste.com/aeSIsoDlKd
盜版軟件過濾。
tafil.dat - http://privatepaste.com/26FTx1Dfjz
酒精類過濾。抄襲cybersitter的名單
tapfil.dat - http://privatepaste.com/ae0UoosGMk
紋身類過濾。
viofil.dat - http://privatepaste.com/f79OiqXC6J
暴力自殺類。
注意這些網址文件,結合以前網上流傳出來的FalunWord.lib,我們可以得出一個很驚人的結論
國內網站很少被屏蔽,.cn的網址很少出現。
為什么說這個結論很驚人
1. 為什么屏蔽對象僅僅局限于歐洲國家、美國的sex情暴力網站,甚至阿拉伯國家的極端宗教網站
1. 為什么這個耗資4170萬的軟件屏蔽對孩子有害的網站,都直接非法抄襲來自cybersitter的名單
3. 我知道的幾個XX網站,名單里一個都沒有!
4. 為什么幾乎不怎么屏蔽國內垃圾站呢?國內的垃圾站還少了嗎?
所以,綠壩根本不能算一個全功能的家長軟件,只是國外同類軟件的rip-off加上一個強大的合法木馬監控每一臺7月1日之后的新電腦。
一個很不情愿的猜測就是官老爺們壓根不是認真做家長類軟件的。這個軟件壓根就不是為了保護納稅人的孩子的。為是為了該軟件的一些“附加功能”。例如匯報老大哥。比較善意的猜測就是一些利益集團想再度搜刮老百姓(特別是家電下鄉的那些)利用國家手段強制搞的一個政策罷了。
最后要感謝http://scott.wolchok.org/greendam.html(解密源碼的C算法在http://scott.wolchok.org/gddec.c,大家可以編譯,自行解驢爸軟件的.dat看看有那些網址),這些成果和你們的辛勤勞動是分不開的。