风萧萧兮易水寒，壮士装“绿坝”兮不复返

have

当访问一个网站的时候，XNet2.exe开始作用，占用CPU

但是防护功能似乎不够健全，在帝吧逛了十几分钟都没提示，比如这么不和谐的贴都过了

实践证明，丫只监控IE，所以这有效推广了firefox、chrome等浏览器。

have

感谢直播过程中某观众提供测试网址。迅速被护：


贴一张内涵测试图，测试图像识别功能~
内涵测试图正确显示。。。。绿坝的按照肉色识别的功能。。。。

have

绿坝的图像识别也有误杀的，可怜了这个工作会议：

have

一个比较重要的发现：

如果一个XX网址在IE里面被干掉了，那么这个网址会被后台记下来，绿坝本身带一个类似防火墙的功能，把这个网址整个干掉，以后别的浏览器都无法浏览。但是如果这个网址不是在IE里面首先访问，就不会连累到。

have

可怜的工作会议图，看绿坝和本页对比：


补充：貌似chrome发起的网络链接也会被和谐，奇怪啊，难道真sock了？
网络流量倒是十分正常，因为我用桥接到本地主机的网络，主机网络有mac自带的防火墙，我默认关闭所有主动链接并且监视端口，现在还没有异常。

have

来一个稍微有些技术含量的。为什么绿坝的进程没法停止，因为丫有守护进程监控，而且这守护进程是注册成系统服务的，一个叫HNC Engine service，一个叫MsPowerSvc（看名字你根本不知道是干嘛的吧，下面告诉你），更恶心的就是，这是两个互相守护的，你干了一个，另外一个能起来，最强的是，他们把自己弄成不可访问了：

have

刚才某网友发现一系列站点都是没有被绿坝列入黑名单也没有过滤的，看来绿坝作者上这些网不勤劳啊。请不要发消息问我地址，这只是测试。

have

我还是牺牲了啊，现在tieba都没法打开了。

一些分析。。。

这个东西会读取一个叫做trusturl.dat的文件，作为白名单，这个文件打开之后是个加密的纯文本，比如是：

nBom_lZVkmjWZM>2Z?jS:AnRjOZb
>B?]oN_?oOoon2Z[:S[:NBj?JR
^R?=_^?O:_JD:M^2JOZcj1
nBomo^_i??O<>RJ_:CjQ

这种加密方法我去想一下，或者反向工程一下他的exe文件看看如何解密，应该不难。

知道这个之后，可以去看看他那个黑名单是如何搞了。

我明天继续试，还要实验传说中的截屏功能。据说丫的截屏功能没法截RM的和windows media player的，这不是摆明了让大家放心观看爱情动作片嘛。

xtgch

原帖由 have 于 2009-6-10 20:43 发表
暂时没牺牲，正在分析文件

这里是按照时间列表的所有文件，以及进程列表，居然加载了4个进程，小样贼心很重啊
89

刚才在用冰刃分析文件。

实验结果。丫用了太多hook，钩的浑身上下都是，你做任何动作丫都有 ...

等你破解后共享共享！:weisuo: :weisuo:

have

还是研究研究它的数据库吧，那可是个宝藏，里面有一些数据可能咱这一辈子都弄不到手的:weisuo: