绿坝审查软件系统分析编辑本段回目录
Scott Wolchok, Randy Yao, and J. Alex Halderman
计算机科学与工程系
美国密西根大学
密西根大学计算机科学和工程部
报告英文原文地址:http://www.cse.umich.edu/~jhalderm/pub/gd/
摘要
我们已经发现在绿坝软件中存在远程利用的漏洞,据说是中国政府授权的审查软件。任何绿坝的用户访问网站都可以控制电脑。
据新闻报道,中国将很快要求所有在国内销售的PC预装绿坝软件。软件可以监控访问的网站及相关其他活动,并且阻止成人的内容以及政治上敏感的内容。
我们检查了绿坝软件,发现它包含由于编程错误导致的严重的安全漏洞。一旦安装绿坝后,用户访问的网站,可以充分利用这些漏洞来控制电脑。这可能允许恶意网站窃取个人资料,发送垃圾邮件,甚至被控制为一个僵尸网络的计算机("肉鸡")。此外,我们发现绿坝黑名单的更新的方式存在漏洞,可以让软件制造商或其他人在更新过程中安装恶意代码。
这些暴露的问题,仅仅是不到12小时的测试结果,我们认为它们可能只是冰山一角。绿坝软件中频繁应用不安全和过时的编程方法,可能引起许多其他漏洞。纠正这些问题需要大量的修改,并且仔细地重新测试。同时,我们建议用户为了保护自己立即卸载绿坝软件。
简介
根据最新的新闻报道(纽约时报,华尔街日报),中国政府批准,从7月1日开始,每一台在国内销售的PC都要求预装一款称作绿坝的审查程序。该款软件的作用是监测在电脑上的互联网连接和文字输入。它会阻止不良或政治上敏感的内容,并且将其选择性地报告给当局。绿坝是由金惠公司开发,并提供免费下载 。我们检查的版本号是3.17。
绿坝的工作原理
绿坝软件通过拦截网址和图片以及监测其他应用软件的文本来过滤内容。过滤的黑名单包括成人的内容和敏感的政治内容。一些黑名单看起来是直接从美国制造的过滤软件复制的。
图片过滤 绿坝利用计算机视觉技术阻止裸露的在线图片。图片过滤据称是通过识别图片所包含的大面积的人体肤色,而近摄的面孔则被排除在外。我们发现,该计程序包含开源图像识别软件OpenCV的代码库和一个配置文件。
内容过滤 绿坝扫描各种应用软件中的文字输入封锁内容,包括猥亵的和政治上敏感的词组(例如,法轮功)。列为黑名单的条目被放置在三个文件中,使用了一个简单的非密钥式的混乱处理。我们解密了这三个文件的内容:xwordl.dat,xwordm.dat和xwordh.dat。我们还发现未加密文件FalunWord.lib似乎是一个供更复杂的语句处理算法使用的单词列表。当绿坝检测到这些词汇时,违反规定的程序会被强行关闭,并弹出一个错误的消息(如上图所示)。
网址过滤 绿坝网站使用白名单和黑名单文件中的模式来过滤网址(*fil.dat,adwapp.dat,和TrustUrl.dat)。这些文件和文本过滤器使用相同的简单的非密钥式的混乱处理。五个黑名单分别对应于绿坝选项对话框中内容过滤的类别(如下图所示)。
我们有证据表明,其中的一些黑名单采用了美国设计的过滤程序CyberSitter。尤其是,我们找到的一个加密的配置文件,wfileu.dat,它引用了CyberSitter网站下载的黑名单。我们还发现了一个安装文件,xstring.s2g,似乎黑名单仅截止至2006年。最后,csnews.dat是一个加密的由CyberSitter设计的2004年新闻简报。我们猜想,这个文件是一个意外,因为它和过滤器有相同的文件扩展名。
安全问题
经过一天的软件测试,我们发现了两个主要的安全漏洞。首先,在软件监测网站的方式存在一个错误。其次,软件黑名单更新方式中存在一个漏洞。两者都允许远程执行任意代码和控制电脑。
网页过滤漏洞
绿坝拦截网络流量,软件进程检查用户访问网站是否有黑名单包含的网址。为了实现网络监测,它使用socket接口向软件注入了一个名为SurfGd.dll的库。当用户访问一个网站,这段代码会检查网址是否在黑名单中并记录访问的网址。
我们发现,处理Web站点的请求的代码中存在编程错误。处理网址的代码,使用了固定大小的缓冲区,一个特制的URL地址可以溢出这个缓冲区和破坏执行堆栈。用户访问的任何网站可以重定向浏览器到一个包含恶意网址的页面,并控制电脑。
我们已经设计了一个触发此错误的示例网址。如果您安装了绿坝,按一下我们示例攻击网页上的按钮,将导致您的浏览器(或标签)崩溃。
这一技术性验证测试表明,我们已经能够控制执行堆栈。一个实际的攻击者可以利用这个漏洞来执行恶意代码。
绿坝的设计使得几乎所有的浏览器都可以利用这个漏洞。现在,用户保护自己最可靠的方就是卸载绿坝。
黑名单更新漏洞
我们发现的第二个问题是绿坝读取过滤文件的方式。这个问题将使绿坝的制造商或者第三方冒充他们执行任意的代码,并在用户的电脑上安装完一个过滤器的更新后安装恶意软件。用户可以从绿坝配置程序中启用自动过滤器更新。
绿坝读取过滤文件使用了不安全C语言字符串库。在这些地方,它使用fscanf函按行数读取过滤文件到程序执行堆栈中一个固定长度的缓冲区。这是典型的缓冲区溢出漏洞。例如,如果文件TrustUrl.dat中的一行超过某一固定长度,缓冲区将会溢出,破坏执行堆栈,甚至可能让攻击者控制进程。
如果用户已启用过滤器的更新功能,过滤文件可以由软件制造商远程替换。利用我们发现的漏洞,更新可以破坏这些有易受攻击的文件。这可能会允许绿坝的设计者控制任何一台安装了绿坝和启用自动过滤器的电脑。此外,更新是通过未加密的HTTP连接,这可能会允许第三方冒充更新服务器(例如,利用DNS漏洞)和通过这种攻击来控制用户的电脑。
清除绿坝
绿坝只允许知道管理员密码的用户才能卸载该软件。我们测试了卸载程序,发现它似乎能从计算机中有效移除绿坝。但是,它不能删除一些日志文件,有证据表明使用者的活动记录仍然隐藏在系统中。
鉴于如上所述的严重的漏洞,用户能够保护自己的最可靠的方法是立即利用其卸载功能删除该软件。
结论
我们简短的测试证明,绿坝有非常严重的安全漏洞。不幸的是,这些问题似乎反映代码中系统性的缺陷。该软件广泛使用的编程技术,已知是不安全的,如不推荐使用C语言的字符串处理函数,包括sprintf和fscanf。这些问题因为设计程序变得复杂,建立一个大型攻击面:因为绿坝过滤器,处理所有的网络流量,大部分的代码将受到攻击。
如果以当前的形式部署绿坝软件,这将大大削弱中国的计算机安全。虽然我们发现的漏洞可以迅速地修复,但是想修复所有问题可能会需要大量的修改和全面的测试。这意味着从7月1日开始全国范围内部署绿坝将难以实现。
用户可以设定哪些类别的网站被绿坝过滤。
其他过滤器是用来阻止成人内容和文本输入中政治敏感的词汇。
致谢
我们要感谢在密歇根大学的同事,他们提醒我们关注绿坝并协助我们翻译。
联系作者
请发送疑问或意见给J.Alex Halderman教授。(翻译:jiyee)
绿坝盗用其它软件代码编辑本段回目录
臭名昭著的绿坝甫一推出便遭网民群起而攻之,一款不论技术或者创意都不过尔尔的三流软件竟使得吝啬的中国政府一下子拿出了四千万,要求各大PC生产商必须随机安装,其中猫腻想必路人皆知。显然,作恶多端的GFW已经对互联网的管理力不从心,亟需一款既有正当理由又功能强大的软件辅佐式微的GFW。可惜祸起萧墙,漏洞频出的绿坝还未正式上岗就已经遍体鳞伤,这不,最近美国某软件公司就宣称绿坝盗用其代码。
一家美国软件制造商周五宣称,中国政府要求所有个人计算机安装的过滤软件“绿坝”盗用其代码。
CyberSitter的开放者Solid Oak Software宣称绿坝的用户界面的外观和质感酷似CyberSitter的风格。首席执行官布里安·米尔本说,更无耻的是,绿坝的代码的动态链接库和 CyberSitte的名字有关联,甚至会链接 Solid Oak的服务器来更新。
绿坝是一款过滤软件,据报道在中国所有销售的个人计算机都被要求安装。根据《纽约时报》该软件在中国已经可以使用,尽管6月1日已被限制使用。
根据密歇根大学的研究,绿坝通过比较过滤器辨别图片、文本、网址,屏蔽“低俗”内容。研究者用标准方法逆向处理该软件。研究发起人,电子工程助理教授J.阿莱士·哈尔德曼发现该软件使用了CyberSitter自2006开始收集的黑名单。一个从2004开始的新闻公告板也意外的包括在内,哈尔德曼写到。
“昨天报告出来以后我们一直在和他们商讨这个问题,”哈尔德曼在采访中说。
对哈尔德曼来说,绿坝存在两个根本问题:一,软件有漏洞,其他人能监视使用者的活动;二,可能盗用其它制造商的代码。哈绿坝的中国开放者似乎无意中造成漏洞,哈尔德曼说,而不是蓄意允许政府机构监视其网民。
“如果由此推断,我们可以得出结论,中国政府想有一个可以通过的后门,但其他人不可以。”哈尔德曼说。
绿坝的3.17版好像既参考了黑名单也盗用了代码。但软件仍频繁更新,周四的最近补丁好像删除了很多参考 Solid Oak的黑名单,哈尔德曼说。
“我想根本就是中国政府设法不费吹灰之力推广这个软件,”哈尔德曼说,“显然,在大规模使用前,需要更多时间评估软件的合法性和安全性。”
让Solid Oak的米尔本稍感欣慰的是他周五受到一封匿名邮件提醒公司绿坝使用了Solid Oak的代码。他没在意,以为只是一个恶作剧。但一个职员调查了一下,发现是真的,网址和Solid Oak代码包括动态链接库都是绿坝的一本分。做了些调查之后他找到了密歇根大学的报告,联系了哈尔德曼。
“从他们发布的材料来看。我百分之百肯定他们在使用我们的私有代码,”米尔本说,他说他不敢确定有多少代码被逆向重组了或者简单地盗用。
“我们一直在做侦探工作,”米尔本说。
截至发稿时止,Solid Oak确定较低等的过滤引擎或者部分已被反编译,用某些专业方法。Solid Oak并没有中文版的CyberSitter。但是,米尔本说,“用户在屏幕上看到的字大多属于我们的。”
据米尔本说,公司用了周五的时间设法测定它的选择是什么,有什么方法可以阻止代码被乱用。
据纽约时报报道,个人计算机原始设备生产商遭受绿坝强制安装的突袭,想知道如何在政策落实仅仅六周后就要在生产线上添加这样的软件。戴尔、惠普等其它原始设备生产商被要求在他们的个人计算机中安装此软件。
但他们会不会助长软件盗版?“依我之见,安装绿坝使得个人计算机生产商成为软件盗版的帮凶,”米尔本说,“我认为PC生产商不想这么做。”
“我们还没有机会做选择,”米尔本说。“最起码我想我们会要求禁止盗版。”
理论上讲,这让个人计算机原始设备生产商希望有一个容易可行的选择在中国做生意:面对禁止的威胁或者和美国打官司,冒着激怒中国政府的危险卸载绿坝,或停止在华的个人计算机销售。惠普和戴尔的代表截至发稿时止尚未作出评论。
这已不是Solid Oak的代码第一次被盗用,米尔本说。90年代末,黑客盗版了CtberSitter,这是一款阻止未成年人接触色情或其它成人内容的,但允许成年人接触这类内容。
黑客,以及其它诋毁者先前都抨击Solid Oak和CyberSitter审查互联网。“那就是为什么我们不想与其有瓜葛的原因,”米尔本谈到绿坝说。
而且,潜在的无数中国个人计算机用户访问Solid Oak的服务器寻求更新,造成公司支付的带宽成本增加。
一个显而易见的解决方法是屏蔽中国,这个举措不仅会阻碍一部分包括教会学校在华的美国学校合法使用软件阻止孩子接触成人内容。一些新加坡,韩国,或者其它南亚国家的办公处也会受到影响。
“他们合法地使用它,我们不想因此放弃这个大陆,”米尔本说。
绿坝花季护航过滤软件评测试用编辑本段回目录
绿坝花季护航是一款保护未成年人健康上网的计算机终端过滤软件,可有效过滤色情文字等不良信息,并对之进行拦截屏蔽,产品同时具有控制上网时间、管理聊天交友、管理电脑游戏等辅助功能。
软件基本信息:
软件名称:绿坝花季护航
软件版本:3.17
软件大小:10112 KB
软件语言:简体中文
软件类别:浏览安全
软件授权:共享版
操作系统:Win98/2000/XP/2003/vista(暂不支持linux系统)
绿坝目前有家庭版、厂商版、渠道版、网吧版以及校园版。
绿坝花季护航所有的文件都安装在系统目录(windows/system32)下,程序菜单没有提供卸载入口,后发现卸载功能在主程序的一个菜单里。在启用“绿坝花季护航”的图片过滤功能时,软件会自动清除的浏览器缓存。
软件特点:
1、通过密码总控软件,包括卸载权限
2、自动识别、拦截黄色图像
3、语义分析自动发现不健康信息
4、上网时间控制、聊天控制、游戏控制
一、安装过程
1、下载软件,双击安装程序,安装即开始
2、进入欢迎安装程序界面,点击【下一步】按钮继续。
欢迎安装
版权信息
版权信息
3、查看软件说明,点击【下一步】按钮继续。
软件说明
4、系统完成安装请重新启动计算机。
卡巴斯基报告可疑活动
在安装过程中会遇到下图所示的提示窗,提示系统初始密码为112233,软件的所有重要功能设置都会要求输入这个密码,因此这个密码很重要,建议家长用户在安装完成后立即修改密码。
提示初始密码
完成安装
二、功能测试
管理需提供密码
基本设置:
可以看到首先出现在我们面前的是一个总控制窗口,如图所示,界面设计清新活泼,充满了童真,界面上方是5个功能按钮,其中的 “系统设置”和“日志查看”两个功能模块需要密码验证才能进入。这里的密码就是安装过程中出现的提示框中提示的初始密码,即112233。
总控制窗口
1、不良信息过滤
上网管理软件对不良信息库进行了分类,如图所示,用户可以按照过滤要求选择系统过滤库。 默认状态下软件已经启用了所有的不良信息过滤功能,可以直接、主动识别并拦截黄色图像、色情文章及不良网站。
对要进行过滤的内容进行设置
当软件检测到不健康信息(如色情、暴力等)后,系统会立即强制关闭浏览器软件,如图所示。
过滤提示
经过测试,发现如果在记事本或者WordPad中输入任何“法X轮X功”字样,都会关闭应用程序,但是在绘图板和MSN中输入这些字则不会有反应,这也说明其程序的不完备性。
2、限制使用即时通讯工具
绿坝针对目前常用聊天工具进行了设置,可供家长定制。但是默认设置下并没有开启对聊天工具的监控,因此开启QQ等聊天工具时仍然可以照常使用。用户需要自行添加对聊天工具的限制。登录“系统设置”模块,在右侧的导航面板中依次选择 “个性参数->个人定制”,在左侧出现的“个人定制”窗口中选择“禁止上网的程序”,点击界面上的“选择”按钮,将弹出下图所示的添加程序窗口,如图所示,“绿坝-花季护航”上网管理软件可以禁止的程序除了包括绝大多数的聊天工具,其中当然有QQ、MSN、UC等,还可以禁止迅雷等其他软件的使用。
可强制关闭即时通讯软件
3、限制电脑游戏
可根据用户需要对游戏等可执行程序进行个性化管理,通过设置可对本地游戏和目前流行的众多网络游戏进行限制。
4、上网时间管理
绿坝提供上网时间管理功能,可根据需要设置孩子的上网时间,非上网时间段将无法连接互联网。该功能默认是关闭的,需自行设置。登录“系统设置”模块,在右侧的导航面板中依次选择 “系统设置->时间控制”,在左侧出现的“时间控制”窗口启用“允许上网时间控制”,并自行设置每天允许上网的时间段,如图所示。只有在划定的时间段内可以上网,超过划定时间段,系统将自动断开网络。
上网时间管理
5、监控上网活动 适时截屏
软件提供文字日志和定时抓屏日志,方便管理者随时了解上网情况。在文字日志内将分别记录下受限用户访问的正常网址、非法网址或程序,并记录其访问的时间。定时抓屏日志将定时截取用户计算机的屏幕图片供家长查看,默认截屏间隔时间段是3分钟。
查看访问日志
查看截屏日志
三、卸载
进入“日常维护”→密码/卸载,点击“卸载”自动卸载系统,如图:
卸载窗口
四、测试总结
1、该软件默认情况下不拦截色情图片,需要打开该软件进行设置才能开启。
2、软件默认开启文字分析过滤功能,但在搜索引擎中输入一些有可能搜索到色情信息的文字并未被拦截。
3、开启色情图片拦截后,在百度中搜索打开张筱雨人体艺术图片会导致浏览器自动关闭。
4、软件是可以卸载的,但在“开始菜单”及“控制面板”中无卸载项,必须打开绿坝花季护航主界面在其中找到卸载菜单才可以卸载(具有管理权限,需要密码),卸载过程中出现一些异常情,需要多试几次才能卸载得了。
5、卸载完后经观察,无残留启动项和系统服务。
优点:功能强大,具备不良信息过滤、限制上网时间、限制聊天、限制游戏、查看上网记录及监控屏幕等功能,对色情类“不良信息”的网页判断较准。
缺点:卡巴斯基报安全威胁、外部无法卸载(只能通过管理功能卸载)、不兼容Firefox浏览器(无法起到过滤的作用,访问某些网页时无提示自动关闭)。
另外,目前该产品只提供 Windows 版本,对IE、谷歌浏览器有效,但因软件并非采用一般软件的安装方式,所以对Firefox火狐浏览器无效。此外,软件关闭浏览器及将网址加入黑名单这一过程并没有经过用户确认。
潜在风险
后门:绿坝本身的安全性就有很大疑问,这样一款以“护航”为目标的软件很可能存在安全漏洞,一旦被黑客发现,则所有安装绿坝的电脑都可能成为黑客的“肉鸡”,如果其安装量大的话,完全有可能重演“暴风影音断网”的事件。
因为绿坝软件本身的多种不完善性,可能会导致客户端正常软件功能的失效(例如,关闭没有保存的正常工作文档而不提示保存)。
绿坝评测报告编辑本段回目录
作者: 米兜
2009-06-10 20:33:00
来源:南方周末网络专稿
相关新闻
机器猫过关,加菲猫过滤——“绿坝-花季护航“的是与非工信部要求新售个人电脑7月起预装上网过滤软件图片
标签
绿坝花季护航已有评论6条
发表评论
收藏
推荐给
打印
字体:大 中 小
1. 安装流程
1.1. 安装环境
操作系统:vmware workstation中虚拟中文windows XP+sp3
硬件环境:vmware workstation中虚拟内存512MB、硬盘8GB、奔腾4CPU3G
其他软件:windows XP默认安装组件、office2003、IE6
绿坝下载:http://www.lssw365.net/download.php?type=1&version=0 标准版3.17
“绿坝-花季护航”可供下载的有标准版、渠道版、网吧版、校园版和厂商版,测试版本为“绿坝-花季护航标准版3.17”。
1.2. 安装过程
下载完毕后双击文件LH-setup3.17.exe,进入安装界面
绿坝安装界面
安装过程中发现一个语法错误,软件许可协议中的第一条“本产品可以过滤互联网上的不良信息,但不保证能不良信息能完全被过滤,也不保证被过滤的信息完全是不良信息。”,应该是“但不保证不良信息能完全被过滤”。
软件许可协议
安装后会提示初始化密码112233,并且提示需要重新启动电脑
安装后会提示初始化密码112233,并且提示需要重新启动电脑
1.3. 安装后环境
安装期间无需指定安装的路径,相关文件会拷贝到windows目录和windows/system32目录下,注册表和文件的变更情况如下:
l 注册表删除记录:6条,都是删除原有在注册表内的ie浏览器历史记录
l 注册表改动记录:40条,大多数和网络连接的服务相关如修改mwsock.dll相关的多个键值
l 注册表新增记录:354条,主要是注册绿坝的软件信息
l 系统服务新增记录:2条,C:\Windows\MPSvcC.exe、HncEng.exe,不能在服务管理中改动删除
l 系统驱动新增记录:1条,C:\Windows\system32\Drivers\mgtaki.sys
l 系统启动项新增记录:1条,C:\Windows\system32\xnet2.exe
l 文件新增记录:27条,位于C:\Windows\内
87条,位于C:\Windows\system32内
2. 使用方法
2.1. 启动绿坝
安装后重启系统,在任务管理器中可看到由用户身份加载2项进程:XDaemon.exe和XNet2.exe,由系统身份加载2项进程:MPSvcC.exe和HncEng.exe。用户无需启动任何文件或进行任何操作,开机即进入绿坝的使用状态。另外,除HncEng.exe外的3项进程互相守护,不可单独关闭其中某一项进程,当打开被监控的程序,如IE浏览器,HncEng.exe就会自动加载。
2.2. 资源消耗状况
WindowsXP后台驻留的4个绿坝程序中
XNet2.exe 使用约27M内存
XDaemon.exe 使用约7M内存
HncEng.exe 使用约10M内存
MPvcC.exe 使用约3M内存
以上共约47M内存,在反复打开10次被识别为不良的页面后,以上4程序占用内存变化不大,维持在47M左右。
2.3. 设置界面
点击绿坝花季护航,即可进入系统设置界面,当无操作30秒后,会自动关闭界面,防止被误操作。
系统设置界面
点击系统设置,会提示输入密码,就是初始密码112233,然后会提示进行免费注册,也点击“下次注册”跳过不进行注册
2.3.1. 系统设置
l 总控开关
n 可以全局设置绿坝的开关,也可以选择断开网络
n 可选项是:发现不良信息报警、允许白名单、只允许访问白名单、白名单优先
l 图像拦截
n 可以启动自动图像识别功能,并定义多少张不良图片会自动视为不良网页、列入黑名单、和自动关闭
系统设置界面
l 语义分析
n 语义分析功能打开后软件会自动 网页及本地文字实时检查,如果发现不健康信息,将会对该浏览软件进行关闭
l 时间控制
n 控制可上网的时间段
系统设置界面
2.3.2. 个性参数
l 内容选择
列出了一批可选择的屏蔽内容类别,包括:成人/色情网站、成人/色情网站(严格)、暴力游戏、同性恋、非法活动/毒品。
l 个人定制
可自定义黑白名单,自定义关键字和禁止上网的程序
l 日志设定
设定日志的类型,可选择文字和图片,设定其记录的时间间隔和保存日志的时间
2.3.3. 日常维护
l 注册/升级
可手动进行更新升级,也可以设定更新的间隔天数。在注册信息内显示,软件授权至2010年05月20日
日常维护界面
l 密码/卸载
可以修改系统密码,原密码112233非常简单而且现在全中国有上百万人知道这个密码了,正常使用绿坝的用户务必修改此原始密码。
绿坝并没有像一般软件那样在开始菜单有卸载的快捷方式,而是把卸载放在了软件的设置中。
l 界面/帮助
可选择不同的界面配色方案
l 网络修复
如果其他的病毒防火墙软件、网络防火墙软件、安全软件对绿坝有过影响或者删改,可以用网络修复。
2.4. 过滤效果
2.4.1. 30秒自动保护
在一边编写评测报告的同时,一边截图一边写,经常会遇到绿坝的系统设置界面自动消失,后来观测所得就是30秒内不对其设置界面有操作,就会自动的关闭。如果你需要再次打开设置界面,必须重新输入一次密码。
2.4.2. IE图片测试
测试环境下的IE版本是6.0.2900,在默认的设置下,打开图像自动识别低级的情况下,打开如下页面进行测试,并查看绿坝文字日志:
l http://www.voa.com,发现不良图片
http://www.voa.com/data/images/466/mediumlarge/Fourth%20Floor%20Corridor-people_Signature%20Theatre_8x10.jpg
l http://zh.wikipedia.org,发现不良图片
http://upload.wikimedia.org/wikipedia/commons/thumb/8/84/Song_Imperial_Examination.JPG/90px-Song_Imperial_Examination.JPG
l http://image.baidu.com,搜索关键字汤加丽,未发现不良图片,实际上在百度图片中会搜索到大量的裸露照片。
l http://jiao2.cn/ ,基本上图片都不能显示,而日志内并无任何记录,关闭绿坝后重新启动又恢复正常可以显示图片,在日志内发现关键字过滤。
再以我们常见的动漫图片来对比,分别是机器猫、hello kitty、加菲猫,同样在百度图片里面进行搜索,结果如下:
l 机器猫正常显示
http://image.baidu.com/i?ct=503316480&z=0&tn=baiduimagedetail&word=%BB%FA%C6%F7%C3%A8&in=4214&cl=2&cm=1&sc=0&lm=-1&pn=2&rn=1&di=782299440&ln=2000
l Hello kitty在读取页面显示了将近10秒后被关闭
http://image.baidu.com/i?ct=503316480&z=0&tn=baiduimagedetail&word=hello+kitty&in=5713&cl=2&cm=1&sc=0&lm=-1&pn=1&rn=1&di=484232084&ln=2000
测试结果发现:
l 绿坝会对大面积的黄色区域的图片敏感,对大块黄色块的图片也会有误判。如果是黑色、红色肤色的裸体图像,绿坝未能识别。
l 因为内建了白名单、黑名单、以及自定义过滤,所以是必然会有一个判断的优先级别。目前观测的结果是:在白名单内的域名,会一定程度上忽视自动识别,或者是降低其报警级别。例如在百度搜索的预览图片似乎不受图像识别影响。
l 文字日志记录不稳定,而且操作不方便,并不能自动刷新当前的日志,需要手动按刷新才行,不能准确的记录过滤不良图像的信息,尤其是有大量不良图像信息出现的时候。
l 当触动关键字时,可能会提高该页面的图像识别级别。例如jiao2.cn这个网站,代码里面有sex一词,结果该页面的图片显示就不正常。
l 当一个页面有大量图片,特别是超过30张以上的,当有图片被识别不良时,整个页面的其他非不良图片处理速度会变得非常缓慢,最后多数会全部图片不能显示,例如5aiba.cn这个网站的图片。
l 出现不良照片的网站,并不是每次都会提示信息后关闭,例如在baidu上搜索陈冠希艳照门的网站,大约几率在30%会提示不良信息后关闭,70%是直接关闭浏览器。
l 误杀无辜现象,例如在对比机器猫、hello kitty、加菲猫的案例中,会容易被认为是hello kitty、加菲猫被识别为不良图片,而实际上hello kitty的页面不是在打开的瞬间被识别后关闭,加菲猫的页面则是打开的瞬间被关闭。一个页面的加载是有顺序的,图像是一张张按代码顺序从上至下读取,而早已存在浏览器缓存中的不良图像文件,一读取就会触及绿坝迅速被自动关闭。
2.4.3. 文字过滤
l 在IE浏览器中使用某英文单词在维基百科英文版中搜索,日志中有记录发现关键词,没显示该具体的英文单词。该英文单词页面打开后,不是第一时间显示不良信息,在拖动翻页后大约3秒后显示不良信息,自动关闭了浏览器。
l 在绿坝系统设置中的个性参数中,添加个人定制自定义关键字,如“我爱麦兜“,然后在记事本中写”我爱麦兜“后存盘时提示不良信息,但是不良信息未能完全遮盖记事本的操作界面,此时可以存盘,然后再次打开该文件,会提示不良信息后自动关闭。再新建一个文件,里面再写”我爱麦兜“,然后存盘成功,关闭后再打开,未能即时提示不良信息,2秒后弹出不良信息提示。总结——文字过滤功能未能即时监控并提示。
2.4.4. 网络通讯
l 绿坝带有升级功能,可以通过在线升级获取新的白名单、黑名单、关键字库等,点击更新后,windows目录下属于绿坝的文件auctfil.dat、bsnlst.dat、gblfil.dat有改变。更新的网址为http://www.zzjinhui.com/softpatch/。
l 在windows/system32目录下属于绿坝的文件filtport.dat文件,记录了FreeGate/8567/tcp Urf/9666/tcp。
l 在windows/system32目录下属于绿坝的文件xnet2_lang.init文件,记录了一行“AOption0_1117=发现不良网站自动向金惠公司报告“,但是在操作界面中并无该项选项,不能确认该项的设置是否打开
l 金惠网用以支持绿坝更新的服务,是利用http文件检查版本,并用http下载的方式进行更新,用以支持http服务的是netbox服务组件,是国内一家公司开发支持asp的网站建设套件,netbox在2004年后就没有继续新版本推出。
l 6月10日19:54发现www.zzjinhui.com可能被黑客攻击,首页只有It works!字样。
l 无法继续测试在线更新功能,显示服务器错误404,404通常是http服务器提示找不到文件的代号。
2.4.5. 其他浏览器兼容性
测试FireFox、Flock、Safari这三款非IE浏览器时,发现切换绿坝的总开关,有出现无法判断不良图片的情况,以上三款浏览器可以安装插件过滤图片或特定文件,尤其发现绿坝对digg.com的js文件敏感。
在测试FireFox的时候,打开屏蔽digg.com的js文件,那么有个别原本被识别为不良的网站就可用顺利打开。可得出结论是,绿坝黑名单会较自动识别的判断更优先。
IE浏览器一般使用图片过滤或特定文件过滤的插件不多,非IE浏览器则有大量的过滤插件可供选择。绿坝在此方面应该需要改良,考虑如何避免用户屏蔽某些会被绿坝判别为不良的图像,而成功访问页面。总体来说,绿坝对IE的支持相对较其他非IE浏览器要好,如果用户只有IE浏览器,绿坝可以起作用,但要禁止用户下载其他浏览器和插件以绕开IE浏览器。
2.4.6. 视频识别
推测绿坝是通过访问浏览器的缓存文件实现图片的识别,如果一张图片是以幻灯片切换的方式或者是以gif的动画方式在页面上展示,实际上浏览器会把这些图片下载到电脑上的缓存内,则可被绿坝说识别。
而其他如flash格式的swf、flv文件,再如wmv、avi、rmvb等的视频文件则无法识别。
也就是说,绿坝不是监控屏幕显示,而是监控浏览器的缓存图片文件。如果不良图片是再也页面上实时绘画的,理论上也不能识别。
2.4.7. 加密保护
l Windows/system32内的文件uFWORD.dat记录了自定义关键字、uFUrl.dat记录了自定义过滤网址,可编辑。
l Windows/system32内的文件kwpwf.dll记录了绿坝系统设置密码,以MD5算法对密码进行加密存储,在注册表中也有记录该MD5加密后的字符串。2处都修改后就能更改管理密码。
3. 卸载删除
3.1. 卸载方法
在系统设置界面选择日常维护中的密码/卸载,点击卸载按钮,就会完成卸载,并且提示重启电脑。
3.2. 卸载后环境
无残留的系统服务、系统启动项,系统驱动mgtaki.sys需要手动删除。