YKSOFT's Home

北京时间2009年6月24日，晚22时20分。

C:\Users\yksoft_user>nslookup www.google.com
*** Can't find server name for address 192.168.18.1: No response from server
Server:  resolver1.opendns.com
Address:  208.67.222.222

Name:    www.google.com
Address:  64.33.88.161

这个IP是那永远不可能连上的8个IP之一。

C:\Users\yksoft_user>nslookup google.com
*** Can't find server name for address 192.168.18.1: No response from server
Server:  resolver1.opendns.com
Address:  208.67.222.222

Non-authoritative answer:
Name:    google.com
Addresses:  74.125.127.100, 74.125.67.100, 74.125.45.100
这三个IP呢？

C:\Users\yksoft_user>tracert 74.125.67.100

Tracing route to gw-in-f100.google.com [74.125.67.100]
over a maximum of 30 hops:

  1     *        *        *     Request timed out.
  2    62 ms   112 ms   120 ms  222.247.29.89
  3    62 ms    66 ms    58 ms  61.187.255.233
  4    89 ms    71 ms    71 ms  61.137.2.177
  5    73 ms    93 ms    64 ms  202.97.46.29
  6   161 ms     *      253 ms  202.97.35.69
  7   128 ms    90 ms   107 ms  202.97.37.117
  8   246 ms   279 ms   301 ms  202.97.33.62
  9   302 ms   255 ms   229 ms  202.97.33.2
 10   350 ms     *      252 ms  202.97.33.5
 11   357 ms   346 ms   229 ms  202.97.5.138
 12   282 ms     *      275 ms  209.85.249.192
 13   556 ms   641 ms     *     216.239.43.212
 14   586 ms     *      677 ms  209.85.241.210
 15   612 ms   757 ms   593 ms  209.85.249.18
 16   709 ms   655 ms   649 ms  209.85.242.215
 17   660 ms     *      531 ms  72.14.239.131
 18   725 ms   712 ms   722 ms  209.85.255.198
 19     *      696 ms   630 ms  gw-in-f100.google.com [74.125.67.100]

Trace complete.

看上去还是能通。然而Google直接80端口上.com会被重定向到www，又上到了那8个IP中的一个。

D:\OperaTor\Tor>tor-resolve  www.google.com
202.181.7.85

这个呢？

D:\OperaTor\Tor>tracert 202.181.7.85

Tracing route to 202.181.7.85 over a maximum of 30 hops

  1     *        *        *     Request timed out.
  2   119 ms   126 ms    57 ms  222.247.29.45
  3   117 ms   163 ms     *     61.187.255.221
  4    60 ms   125 ms   116 ms  61.137.0.133
  5   152 ms   155 ms   201 ms  202.97.40.173
  6   370 ms   303 ms   339 ms  202.97.35.57
  7   124 ms   180 ms   190 ms  202.97.48.26
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.
 10     *        *        *     Request timed out.
 11     *        *        *     Request timed out.
 12     *        *        *     Request timed out.
 13  ^C

然后再来看一个：

http://search.yahoo.com/search;_ylt=A0oGkwScNEJKIUMBSjil87UF?p=.google.com&fr=sfp&fr2=&iscqry=

重置了吧？

看来这次又是这年来常用的三层一起上，而且这次是罕有的事先放出风声（对李开复的流氓分公司做出“暂停海外搜索”的处罚），决不会像前年6月雅虎那样就来一天时间。这次依赖于Google的许多人受影响可就大了！

Update 6.25 早9：10：看来是我的预计错误，或者是影响过大，这次的时间居然比前年的雅虎还要短。今天早上Google总部的所有服务都能用了。

再Update 6.25 早9：50：向www的DNS请求仍然时不时被劫持。看来果然事件还没有结束。

再Update 6.25 晚19：45：经历了中国电信主干网络接近两个小时的严重问题之后，其防火墙系统的工作却并没有受到影响。

再Update 6.25 晚23：30：使用本地的DNS，同样能够正常进入google.com。事件终告一段落。

经我的测试，在 VMWare 中干净安装的 WinXP 中安装的目前3.17版的“绿坝”确实能被卸载干净。
运行截图：

找到的下载地址：
http://rapidshare.de/files/47496697/LBUninstall-v317-v1.0.rar.html

我认为7月1日那个版本，因为3.17版已经被各路高手翻了个底朝天，业余性暴露无遗，因此一定会有大范围改动的。到时候这个管不管用，就很值得怀疑了。

Update 6.13 16:30：6月12日此软件又有两种不同的更新，其中有一种更新似乎不再监视记事本等程序。但是这个工具此时仍然能发挥作用将其完全卸载。

Update 6.21 21:30：此软件最新的3.174版本仍然能被此工具彻底卸载。另外，其Winsock LSP层的关键词过滤有效果了。但那个洋大人发现的栈溢出漏洞仍然有效。

这应该是一些我发现了而别人没有发现的东西。
1、服务Mpsvcc.exe有 -removejh 的参数，用这个参数运行就会自删除服务和自动停止；hnceng.exe有类似的 -remove 参数。这两个服务被中止后，“绿坝”就立即形同虚设（至少最重要的关键词过滤没用了）。
2、会尝试往所有进程都注入个InjLib32.dll，但是在其进行文字过滤时（被文字过滤的程序还会进一步注入Handler.dll、HncengPS.dll和Sentenceobj.dll），对进程名是有要求的（如notepad.exe会被注入，而改名为np.exe就不会）。而那个Handler.dll似乎还有Hook API保护文件、注册表项和键值的能力。
3、图像过滤功能是检测IE缓存中的图像，经常突然无法使用，而且对.png的图片根本就不会过问。
4、负责弹出那个 此信息不良 的模块叫做poppo.dll。
5、和我之前想的不同，其实那个winsock LSP dbfilter.dll 有分析HTTP请求，监视某个黑名单中的url并关闭连接的功能。但是它并不会通过分析URL后继续抓包分析关键词，因此在IDS角度看仍然非常简单，没有某第2层那样的能力。
6、其日志文件的“加密”方法是把每个字符的值加1。。。
7、hnc关键词分析过滤组件和winsock lsp URL过滤组件之间是独立的。
8、xnet2、mpsvcc在启动时会自动试图恢复Winsock LSP组件，但是xnet2却不能恢复mpsvcc和hnceng，在后两个服务被删除/卸载的状态下，xnet2会干脆报错退出。
9、xdaemon和xnet2构成双进程保护。

我认为，要完美卸载这个版本的绿坝，需要知道其自身文件列表。我的Thinstall快照可以拿来参考。第一步是把mpsvcc和hnceng用自带
参数卸载掉，然后结束xdaemon/xnet2，然后把已经注入的DLL之外的文件全部删除，删除各注册表项，恢复Winsock LSP表，那几个剩下的DLL，重启后删除就没问题了。

update 6.15:有人告诉了我绿坝.dat文件解密的方法（一种一个字节变成两个字节的算法，具体看程序），因此自己写了一段小程序。
/*绿坝.dat加密文件解密程序*/
#include<stdio.h>
#include<string.h>
typedef struct gd16word{
        unsigned char lo;
        unsigned char hi;
        }gd16wrd;
char decgd16(gd16wrd a)
{unsigned int r1,r2,r3;
r1=a.lo<<4;
r2=a.hi&15;
r1=r1|r2;
r1=~r1;
r3=~r1^(char)r1;
r3=r3&51;
r2=r1^r3;
return (char)r2;}
    
main(int argc, char* argv[]){
      char ofn[300];
      char c;
      int d,i;
      gd16wrd buf;
      FILE *fi,*fo;
      printf("GreenDam 3.713 .dat decoder by yksoft1\n");
          if(argc<2)
    {
        printf("Usage: gd16d inputfile, [output file]\r\n");
        return;
    }
      if ((fi = fopen(argv[1], "rb")) ==NULL){
      printf("Error opening input file %s\n",argv[1]);
      exit(1); }
      if(argc==2)
      {strcpy(ofn,argv[1]);
       i=strlen(ofn)-1;
       while(i>0&&ofn[i]!='.')
          i--;
       ofn[i]='\0';
       strcat(ofn,".txt");
      }
      else strcpy(ofn, argv[2]);
      if ((fo = fopen(ofn,"wb")) ==NULL){
      printf("Error opening file for output!\n");
      exit(1); }
       while(fread(&buf,sizeof(gd16wrd),1,fi))
      {
       c=decgd16(buf);
       if(c!=22)/*回车换行0D 0A在原文件实际上就是回车换行符，解密后成为16*/
       fprintf(fo,"%c",c);
       else fprintf(fo,"\r\n");
      }
      fclose(fo);
      fclose(fi);
      printf("Completed decrypting %s to %s",argv[1],ofn);
}

Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Safari/530.17
经过半年以上的开发，Safari 4.0终于更新至正式版本。正式版本保留了Public Beta版本的新功能——书签 Cover Flow 浏览视图和 Top Sites 带特效的最常访问列表。但是Public Beta版最特别的地方——类似Chrome的把标签页内置于标题栏的做法，并没有保留下来，而是使用了传统的标签栏置于工具栏、书签菜单之下的做法。这次Windows版中，关闭标签的按钮终于移动到标签右侧而不再和Mac版一样是左侧了。
不过，Public Beta版中的Windows专用UI，这次基本保留下来。但地址栏中的文本键入的柔化显示被禁止，可能是为了减少拖慢吧。



下载：http://www.mediafire.com/?yyindmyldmo

此软件确实能达到一些效果。不过经过我的测试，在很多方面，它都相当地符合病毒、木马和流氓软件的定义。

1、所有模块和数据文件安装在Windows、System32目录下，安装服务，安装驱动程序和WinSock过滤器。

2、无卸载程序，无任何安装日志。

3、尝试注入各进程，因而实现关键词过滤、文本过滤等很多功能。

4、2进程与一服务的互相守护，ring3下防进程终止保护。

5、通过WinSock过滤器实现所谓的“上网时间限制”（我搞不明白，既然已经作了winsock过滤器，为何不拿它来做一个真正的本地IDS系统而还要在应用程序上下功夫？）

6、没有ring0级别的防御和病毒木马常用的IFEO劫持、getwindowtext过滤之类的自我保护。这样，在IceSword、SnipeSword（狙剑）等安全工具的强力攻击下，整个软件很快就会被完全击溃（唯一麻烦在于WinSock SPI）。

我的建议是：增加对软件的getwindowtext过滤和特征码过滤（现在的东西可不是靠一个文件名就能唯一识别的）；把文字过滤项转移到winsock层，可以对任何网络程序进行过滤而不是仅仅针对IE内核的浏览器；日志要加密，要搞后台自动发送，截图要压缩。。总之果然是典型的国产半吊子货，还有，我搞不清这个和某个MatinSoft的GoldTach个人防火墙的关系。

我用Thinstall对软件作了一个快照（有驱动，因此想绿色化自然是不可能的），如果想研究的，可以去这里下载（怎么下载还是不用我说）。

http://www.mediafire.com/?sharekey=b88e2ce4ed1308ffd2db6fb9a8902bda