2009年6月12日星期五

[GFW Blog] 真正的驴爸关键词列表流出,直接破解自安装目录.dat文件,让你感受毛骨悚然的监控

真正的驴爸关键词列表流出,直接破解自安装目录.dat文件,让你感受毛骨悚然的监控

欢迎不署名不写出处转载。

首先分析驴爸的二进制文件。injlib32.exe, 偏移量 89e8H

000089e0h: F8 89 00 10 E8 89 00 10 65 64 69 74 70 6C 75 73 ; 鴫..鑹..editplus
000089f0h: 2E 65 78 65 00 00 00 00 75 65 64 69 74 33 32 2E ; .exe....uedit32.
00008a00h: 65 78 65 00 65 6D 65 64 69 74 6F 72 2E 65 78 65 ; exe.emeditor.exe
00008a10h: 00 00 00 00 77 6F 72 64 70 61 64 2E 65 78 65 00 ; ....wordpad.exe.
00008a20h: 6E 6F 74 65 70 61 64 2E 65 78 65 00 77 70 73 2E ; notepad.exe.wps.
00008a30h: 65 78 65 00 77 70 70 2E 65 78 65 00 65 74 2E 65 ; exe.wpp.exe.et.e
00008a40h: 78 65 00 00 70 6F 77 65 72 70 6E 74 2E 65 78 65 ; xe..powerpnt.exe
00008a50h: 00 00 00 00 66 72 6F 6E 74 70 67 2E 65 78 65 00 ; ....frontpg.exe.
00008a60h: 65 78 63 65 6C 2E 65 78 65 00 00 00 6D 73 61 63 ; excel.exe...msac
00008a70h: 63 65 73 73 2E 65 78 65 00 00 00 00 6F 75 74 6C ; cess.exe....outl
00008a80h: 6F 6F 6B 2E 65 78 65 00 77 69 6E 77 6F 72 64 2E ; ook.exe.winword.
00008a90h: 65 78 65 00 6D 61 69 6C 6D 61 67 69 63 2E 65 78 ; exe.mailmagic.ex
00008aa0h: 65 00 00 00 70 6F 70 6F 2E 65 78 65 00 00 00 00 ; e...popo.exe....
00008ab0h: 71 71 6D 61 69 6C 2E 65 78 65 00 00 61 69 78 6D ; qqmail.exe..aixm
00008ac0h: 61 69 6C 2E 65 78 65 00 69 6D 61 70 70 2E 65 78 ; ail.exe.imapp.ex
00008ad0h: 65 00 00 00 69 6E 63 6D 61 69 6C 2E 65 78 65 00 ; e...incmail.exe.
00008ae0h: 6D 73 69 6D 6E 2E 65 78 65 00 00 00 64 6D 32 30 ; msimn.exe...dm20
00008af0h: 30 35 2E 65 78 65 00 00 66 6F 78 6D 61 69 6C 2E ; 05.exe..foxmail.
00008b00h: 65 78 65 00 67 6F 6F 67 6C 65 74 61 6C 6B 2E 65 ; exe.googletalk.e
00008b10h: 78 65 00 00 6D 69 72 61 6E 64 61 33 32 2E 65 78 ; xe..miranda32.ex
00008b20h: 65 00 00 00 69 6D 75 2E 65 78 65 00 79 70 61 67 ; e...imu.exe.ypag
00008b30h: 65 72 2E 65 78 65 00 00 74 6D 73 68 65 6C 6C 2E ; er.exe..tmshell.
00008b40h: 65 78 65 00 73 74 61 72 74 2E 65 78 65 00 00 00 ; exe.start.exe...
00008b50h: 75 63 2E 65 78 65 00 00 69 63 71 63 68 61 74 72 ; uc.exe..icqchatr
00008b60h: 6F 62 6F 74 2E 65 78 65 00 00 00 00 71 71 2E 65 ; obot.exe....qq.e
00008b70h: 78 65 00 00 6D 73 6E 6D 73 67 72 2E 65 78 65 00 ; xe..msnmsgr.exe.
00008b80h: 67 73 66 62 77 73 72 2E 65 78 65 00 67 72 65 65 ; gsfbwsr.exe.gree
00008b90h: 6E 62 72 6F 77 73 65 72 2E 65 78 65 00 00 00 00 ; nbrowser.exe....
00008ba0h: 74 6F 75 63 68 6E 65 74 2E 65 78 65 00 00 00 00 ; touchnet.exe....
00008bb0h: 74 68 65 77 6F 72 6C 64 2E 65 78 65 00 00 00 00 ; theworld.exe....
00008bc0h: 6D 61 78 74 68 6F 6E 2E 65 78 65 00 74 74 72 61 ; maxthon.exe.ttra
00008bd0h: 76 65 6C 65 72 2E 65 78 65 00 00 00 6E 65 74 73 ; veler.exe...nets
00008be0h: 63 70 2E 65 78 65 00 00 67 65 2E 65 78 65 00 00 ; cp.exe..ge.exe..
00008bf0h: 66 69 72 65 66 6F 78 2E 65 78 65 00 6F 70 65 72 ; firefox.exe.oper
00008c00h: 61 2E 65 78 65 00 00 00 6E 65 74 63 61 70 74 6F ; a.exe...netcapto
00008c10h: 72 2E 65 78 65 00 00 00 6D 79 69 65 2E 65 78 65 ; r.exe...myie.exe
00008c20h: 00 00 00 00 69 65 78 70 6C 6F 72 65 2E 65 78 65 ; ....iexplore.exe
00008c30h: 00 00 00 00 6D 6D 63 2E 65 78 65 00 72 65 67 65 ; ....mmc.exe.rege
00008c40h: 64 69 74 2E 65 78 65 00 74 61 73 6B 6D 67 72 2E ; dit.exe.taskmgr.
00008c50h: 65 78 65 00 6D 70 73 76 63 63 2E 65 78 65 00 00 ; exe.mpsvcc.exe..

什么意思?驴爸软件将监控下列软件:
文本编辑软件:EdiPlus,UltraEdit,EmEditor, 写字板,记事本
办公软件:WPS的Word、Presentation、Spreadsheet,微软的Word、Powerpoint、FrontPage、Excel、Access、Outlook
电子邮件客户端:mailmagic.exe popo.exe qqmail.exe aixmail.exe imapp.exe incmail.exe msimn.exe dm2005.exe foxmail.exe
即时通讯工具:Google Talk,Miranda32,imu.exe,ypager.exe,腾讯QQ和TM,start.exe,新浪UC,ICQ,MSN
浏览器类:GoSuRF,GreenBrowser,TouchNet,TheWorld,MaxThone,腾讯套套浏览器,NetScape,Firefox(说明书里说只能监控到2.0版本),Opera,NetCaptor,MyIE,IE
系统工具类:mmc, regedit, taskmgr

在看看XNet2.exe,偏移量 68968h,看看驴爸将会监控那些程序

00068960h: B3 CC D0 F2 00 00 00 00 77 6F 77 2E 65 78 65 00 ; 程序....wow.exe.
00068970h: C4 A7 CA DE CA C0 BD E7 00 00 00 00 79 61 68 6F ; 魔兽世界....yaho
00068980h: 6F 6D 65 73 73 65 6E 67 65 72 2E 65 78 65 00 00 ; omessenger.exe..
00068990h: D1 C5 BB A2 CD A8 00 00 77 61 6E 67 77 61 6E 67 ; 雅虎通..wangwang
000689a0h: 2E 65 78 65 00 00 00 00 B0 A2 C0 EF CD FA CD FA ; .exe....阿里旺旺
000689b0h: 00 00 00 00 73 74 61 72 74 2E 65 78 65 00 00 00 ; ....start.exe...
000689c0h: CD F8 D2 D7 50 4F 50 4F 00 00 00 00 CD F8 D2 D7 ; 网易POPO....网易
000689d0h: 70 6F 70 6F 00 00 00 00 75 63 2E 65 78 65 00 00 ; popo....uc.exe..
000689e0h: D0 C2 C0 CB 55 43 00 00 D0 C2 C0 CB 75 63 00 00 ; 新浪UC..新浪uc..
000689f0h: 69 63 71 2E 65 78 65 00 49 43 51 36 00 00 00 00 ; icq.exe.ICQ6....
00068a00h: 69 63 71 36 00 00 00 00 73 6B 79 70 65 2E 65 78 ; icq6....skype.ex
00068a10h: 65 00 00 00 53 6B 79 70 65 00 00 00 73 6B 79 70 ; e...Skype...skyp
00068a20h: 65 00 00 00 65 70 68 2E 65 78 65 00 65 BB B0 CD ; e...eph.exe.e话?
00068a30h: A8 00 00 00 64 6F 73 68 6F 77 00 00 6D 73 6E 6D ; ?..doshow..msnm
00068a40h: 73 67 72 2E 65 78 65 00 4D 53 4E 00 6D 73 6E 20 ; sgr.exe.MSN.msn
00068a50h: 6D 65 73 73 65 6E 67 65 72 00 00 00 71 71 67 61 ; messenger...qqga
00068a60h: 6D 65 2E 65 78 65 00 00 51 51 D3 CE CF B7 00 00 ; me.exe..QQ游戏..
00068a70h: 71 71 D3 CE CF B7 00 00 71 71 63 68 61 74 2E 65 ; qq游戏..qqchat.e
00068a80h: 78 65 00 00 51 51 C1 C4 CC EC CA D2 00 00 00 00 ; xe..QQ聊天室....
00068a90h: 71 71 C1 C4 CC EC CA D2 00 00 00 00 71 71 2E 65 ; qq聊天室....qq.e
00068aa0h: 78 65 00 00 51 51 00 00 71 71 32 00 62 69 74 62 ; xe..QQ..qq2.bitb
00068ab0h: 6F 6D 65 74 2E 65 78 65 00 00 00 00 42 69 74 43 ; omet.exe....BitC
00068ac0h: 6F 6D 65 74 00 00 00 00 62 69 74 63 6F 6D 65 74 ; omet....bitcomet
00068ad0h: 00 00 00 00 B7 D6 CE F6 CD EA B3 C9 A1 A3 00 00 ; ....分析完成。..

具体的我就懒得写了。凡是窗口标题栏有这些文字的统统会遭到监视。

搜索引擎监控,来自Surfgd.dll,偏移量16390h


00016390h: 2E 6D 73 6E 2E 63 6F 6D 00 00 00 00 2E 79 6F 6B ; .msn.com.....yok
000163a0h: 61 2E 63 6F 6D 00 00 00 2E 79 61 68 6F 6F 2E 63 ; a.com....yahoo.c
000163b0h: 6F 6D 00 00 2E 79 69 6D 67 2E 63 6F 6D 00 00 00 ; om...yimg.com...
000163c0h: 2E 62 61 69 64 75 2E 63 6F 6D 00 00 2E 63 6F 70 ; .baidu.com...cop
000163d0h: 79 73 6F 2E 63 6F 6D 00 2E 6D 61 70 62 61 72 2E ; yso.com..mapbar.
000163e0h: 63 6F 6D 00 2E 6E 65 74 73 75 6E 2E 63 6F 6D 00 ; com..netsun.com.
000163f0h: 2E 66 6F 6C 6F 64 61 2E 63 6F 6D 00 2E 6E 70 69 ; .foloda.com..npi
00016400h: 63 70 2E 63 6F 6D 00 00 2E 64 69 63 74 2E 63 6E ; cp.com...dict.cn
00016410h: 00 00 00 00 2E 79 6F 6B 2E 63 6F 6D 00 00 00 00 ; .....yok.com....
00016420h: 2E 7A 68 6F 6E 67 73 6F 75 2E 63 6F 6D 00 00 00 ; .zhongsou.com...
00016430h: 2E 73 6F 67 6F 75 2E 63 6F 6D 00 00 2E 79 61 68 ; .sogou.com...yah
00016440h: 6F 6F 2E 63 6F 6D 2E 63 6E 00 00 00 2E 73 6F 73 ; oo.com.cn....sos
00016450h: 6F 2E 63 6F 6D 00 00 00 2E 67 6F 6F 67 6C 65 2E ; o.com....google.
00016460h: 63 6E 00 00 2E 67 6F 6F 67 6C 65 2E 63 6F 6D 00 ; cn...google.com.

dbfilter.dll,这个是直接把你的Windows的winsock2给监听了,也就是说所有从你网卡经过的每一个字节都会被扫描和分析。

现放出来自直接解密安装路径下的 .dat 文件的关键字列表,并稍加解说

wfile.dat - http://privatepaste.com/450zZe32hn
这个文件说明了过滤文件类型

TrustUrl.dat - http://privatepaste.com/4c0Q3tzzb0
信任网址。这些网站毫无疑问都是老大哥信得过的。值得全球站长屏蔽这些网站。这是驴爸软件中最有价值的一份列表,这些网站都是XX喉舌

vgamfil.dat - http://privatepaste.com/1auoil5bP2
所谓"暴力"游戏类。都有屏蔽了什么游戏呢?Quake,Quake2,Quake3,你们PLA训练用的counter-strike.net,F22 Raptor,古墓丽影(这也算暴力类?),古墓丽影II,星际争霸(暴力类?我看是"封建迷信"吧?),暴雪母公司activision.com,duke4.com,万年跳票的dukeforever.com,ff8online.com,half-life.com,stormtroopers.com,unreal.org等等。建议大家以后只打清廉战士。

chtfil.dat - http://privatepaste.com/32hbY5XUgy
屏蔽了AOL,AIM,Yahoo,MSN

csnews.dat - http://privatepaste.com/bb1RyuqiVu
这个文件是最喜剧的,驴爸抄袭美国人的过滤库就算了,还很临时工的把cybersitter别人的readme文件一起抄过来了

entfil.dat - http://privatepaste.com/bd0qklsJuD
娱乐类过滤。这里屏蔽了BSG和Firefly的scifi.com,StarTrek.com,StarWars.com,这样Geek四大剧就被围剿得一个不剩了。另外southpark、pokemon、xfiles和BritneySpears也是监视关键字。blizzard.com暴雪公司官方网站被屏蔽

finfil.dat - http://privatepaste.com/b414bkBNPv
金融类过滤。包括华尔街时报www.wsj.com,www.ft.com,www.sec.gov等

fmfil.dat - http://privatepaste.com/3d114bf1mD
电子邮件监控。hotmail.com,gmail.com,甚至www.mail开头的都会受到特别关注。

fshrfil.dat - http://privatepaste.com/b8kPPu9ZiV
文件共享监控。监控市面上几乎所有的P2P客户端和软件。gnutella, bearshare, emule, wrapster,
scourexchange, imesh, audiogalaxy, kazaa, filesharing, morpheus, limewire,
javalimewire, gnutella, wrapster, scourexchange, shareaza, kazaalite,
bittorrent, azureus


gdwfil.dat - http://privatepaste.com/49ftIfdRqJ
屏蔽了amazon.com,还有这款山寨软件的祖宗cybersitter*.com,download.windowsupdate.com,liveupdate.symantec.com,symantec.liveupdate.com,microsoft.com,symantec.com,windowsupdate.com,zdnet.com。也就是说安装了某软件,Windows的补丁和杀毒软件升级,要么被监控,要么就被直接屏蔽了。有人说这个文件是白名单,请问在同一个列表里的amnesty.org,virgin-boys,porno-free.net这些东西也可能是白名单吗?


imgfil.dat - http://privatepaste.com/cehwHinyM0
这里屏蔽了很多图片类网站,只要URL包含下列字符就会像GFW一样被RST,例如google.ca/image,google.com/image,当然还有Yahoo的yahoo.com/image,还有视频搜索屏蔽searchcat=vid,video.search.yahoo。请问老大哥究竟有什么见不得人的东西要把图片和视频搜索统统屏蔽呢?

mp3fil.dat - http://privatepaste.com/f0uBTti5uh
mp3类。封杀了一些MP3共享软件,例如gnutella, bearshare, wrapster, scourexchange, imesh, audiogalaxy, kazaa, filesharing, morpheus, limewire, gnutella, wrapster, scourexchange

wrestfil.dat - http://privatepaste.com/eapAh32NC8
摔跤类。主要是WWE美摔之类的被屏蔽了。没有屏蔽K1,说明的确是抄袭cybersitter

pkmon.dat - http://privatepaste.com/580KvOFYV4 (POKEMON!)
文件名就很囧。Pokemon就是吃豆子游戏。这份名单貌似过滤了一些anime和manga

sporfil.dat - http://privatepaste.com/e20QeOlezv
体育类过滤。屏蔽了www.nba.com和wnba.com,还有其他的太多了。。。


--------------------分割线--------------------

下面的.dat文件内容,几乎都来自cybersitter,山寨程度可见一斑

wfileu.dat - http://privatepaste.com/9c0oaeS0i1
这个网址就是cybersitter的升级地址了,居然还保留了。你说驴爸这软件山寨不山寨?

wzfil.dat - http://privatepaste.com/170Epo2wTZ
游戏破解


adwapp.dat - http://privatepaste.com/aey5BIlkyx
adult类网站过滤(严格)

adwfil.dat - http://privatepaste.com/091MdBUyDv
adult类网站过滤


lgwfil.dat - http://privatepaste.com/a1ndIrVvEn
同志类网站,不熟悉,不评价。

iawfil.dat - http://privatepaste.com/951A0xSKW2
非法类。照抄cybersitter的名单

auctfil.dat - http://privatepaste.com/f20vFALQPl


bnrfil.dat - http://privatepaste.com/76uATdcCsN
屏蔽广告

bsnlst.dat - http://privatepaste.com/b6tJvZlQJN

cultfil.dat - http://privatepaste.com/dc1NtZn183
文化过滤,包括GeorgeKing,scientology,ChurchOfSatan一类的。还是抄袭cybersitter

gblfil.dat - http://privatepaste.com/53CXciru9I
貌似是赌博类。

gnfil.dat - http://privatepaste.com/c6lU71HHUT
枪支类。

hatfil.dat - http://privatepaste.com/1005oQLOJv
种族仇恨类。

jbfil.dat - http://privatepaste.com/7d1cmQ7bdW
招聘类。

movfil.dat - http://privatepaste.com/99cMT8Xjyr
电影类

nvgamfil.dat - http://privatepaste.com/9aYQOBgQoU
又一个游戏类过滤。nv game filter.dat?

perfil.dat - http://privatepaste.com/7driTj667b
sex类过滤

picsfil.dat - http://privatepaste.com/34TI4cSbZE

popfil.dat - http://privatepaste.com/c10gAsIEuq
广告弹窗类过滤

psyfil.dat - http://privatepaste.com/ae0GA79ZFm
封建迷信和超自然类过滤。

swfil.dat - http://privatepaste.com/aeSIsoDlKd
盗版软件过滤。

tafil.dat - http://privatepaste.com/26FTx1Dfjz
酒精类过滤。抄袭cybersitter的名单

tapfil.dat - http://privatepaste.com/ae0UoosGMk
纹身类过滤。

viofil.dat - http://privatepaste.com/f79OiqXC6J
暴力自杀类。

注意这些网址文件,结合以前网上流传出来的FalunWord.lib,我们可以得出一个很惊人的结论

  国内网站很少被屏蔽,.cn的网址很少出现。

为什么说这个结论很惊人

1. 为什么屏蔽对象仅仅局限于欧洲国家、美国的sex情暴力网站,甚至阿拉伯国家的极端宗教网站
1. 为什么这个耗资4170万的软件屏蔽对孩子有害的网站,都直接非法抄袭来自cybersitter的名单
3. 我知道的几个XX网站,名单里一个都没有!
4. 为什么几乎不怎么屏蔽国内垃圾站呢?国内的垃圾站还少了吗?

一个很不情愿的猜测就是官老爷们压根不是认真做家长类软件的。这个软件压根就不是为了保护纳税人的孩子的。为是为了该软件的一些"附加功能"。例如汇报老大哥。比较善意的猜测就是一些利益集团想再度搜刮老百姓(特别是家电下乡的那些)利用国家手段强制搞的一个政策罢了。

最后要感谢http://scott.wolchok.org/greendam.html(解密源码的C算法在http://scott.wolchok.org/gddec.c,大家可以编译,自行解驴爸软件的.dat看看有那些网址),这些成果和你们的辛勤劳动是分不开的。

--
Posted By GFW Blog to GFW Blog at 6/12/2009 04:54:00 A
--~--~---------~--~----~------------~-------~--~----~
GFW Blog又被封了,您可以通过以下网址翻墙访问:
https://meme2028.appspot.com/chinagfw.org/
https://soproxy.appspot.com/chinagfw.org/
https://proxytea.appspot.com/chinagfw.org/
https://quick-proxy.appspot.com/chinagfw.org/
https://free4internet.appspot.com/chinagfw.org/ 。 您也可以使用Google Reader订阅我们,订阅地址:http://chinagfw.org/feeds/posts/default。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN
-~----------~----~----~----~------~----~------~--~---

没有评论:

发表评论