纯技术角度谈谈绿坝-花季护航

分析家

http://www.tianya.cn/publicforum/content/free/1/1588010.shtml

这2天这条新闻成了重要首条新闻：7月1日起，中国境内生产销售的计算机在出厂前，将预装一款名为“绿坝-花季护航”(下载此软件)的上网过滤软件(下称“绿坝”软件)。工业和信息化部称，此举是为“避免互联网不良信息对青少年的影响和毒害”。从工信部的出发点来看，这似乎是件好事。恰巧我在5-6年前开发过类似的软件，这里从技术的角度来说一说这个问题：

分析家

　　该软件体系结构应该分为控制层和执行层。
　　
　　控制层其实和普通的应用程序没啥区别，不外乎是根据执行层传上来的信息进行各种匹配并将结果送回执行层，这里存在的主要问题是控制层实际上需要从网络上获得最新的内容匹配规则，这有点象防病毒厂家常做的病毒库更新非常类似，并把意外的结果送回网络上的管理控制中心进行分析，这种可能性应该大于80%。
　　
　　更有意思的是执行层，它应该是嵌入操作系统核心的底层驱动上的，需要最高的执行权限，比如如果截取网络层面的信息，一般是用TDI钩子的方法，或者NDIS中间层驱动的方法，而要截取文件系统等也是类似方法。当然也可以用IE插件的方法，无论如何，执行层的东西理论上来说是处于驱动和应用的底层，具有最高的执行权限．

分析家

　　OK,体系结构部分说完了，大家想没有想过这个体系结构能干什么？实际上，木马程序也是这种体系结构，再说得进一步一点，这种东西的执行层的东西一般都是根据某种黑客工具修改的，所以尽管我自己也开发过类似的东西，我可从来不敢往自己的机器上装。
　　
　　
　　

分析家

　　一个最直接的问题是这种程序的兼容性，与各种个人防火墙、防病毒软件冲突是必然的，因为在操作系统上大家的控制点都是一样的（搞技术的人最后的想法都会大同小异），大家都想在最下面，几个屁股一把椅子，不出问题才怪呢。网上有很多评测都指明了该软件的安装会引起个人防火墙防病毒防木马软件的报警，有的报警很比较夸张，认为是＂恶意程序＂，这也说明了该软件至少运用了一些恶意软件的核心代码，导致系统报警（甚至连误报都算不上）。
　　
　　
　　

分析家

　　第2个问题和第1个问题是直接相关的，这种东西和操作系统直接相关，有具有几乎是最高的权限，弄不好会搞死操作系统的，而且死得比较彻底，基本上得重装的。我是比较懒，不会拿自己装满了数据的机器开玩笑，哪怕是实验一把也不行。
　　
　　
　　

分析家

　　第3个问题是个人信息泄露的问题，无论厂家怎么指天发誓也不能否认的是，这个东西具有潜在的收集用户信息并上传的能力，收集的信息不仅包括个人基本信息，甚至还包括上网的习惯，常上的网站，常用的帐号密码等等。厂家宣称的“不会侵犯客户个人信息”很有意思，收集了但不滥用就算不上侵犯，问题是我们凭啥相信厂家的说法，国外信用卡公司个人信息都能丢，这种信息到了厂家手里会拿去干什么谁也说不清楚．
　　
　　
　　

分析家

　　第4个问题是这个东西的安全性的问题，前面已经说了，这个东西的工作原理和木马几乎没啥区别，说实在话，我开发这种东西的时候很多的都是借鉴的一些黑客工具的方法，这也没什么。但是如果每台机器都预装这个软件，谁能保证这个软件没有漏洞，这种东西的安全性要求是非常之高的，到时候一个几千万台的肉鸡，想干点啥不行。这个软件的程序以服务的方式运行。在运行当中会自动记录电脑活动内容，比如你启动了什么程序，或者键入什么字节。在某些情况可以截图保存在特定的目录，并且可以上传到互连网其他机器上的。一位安装过的网友对它的评价是“我对它的评价是危险，非常的危险，如果这就是将来安装的软件，如果你电脑和安装了这个软件的电脑在局域上有连接，有经验的黑客会很轻松的盗取绿坝的使用权限，并利用绿坝的功能让你的电脑内容完全没有任何防范。比如你在网上交易使用的银行帐号和密码。别以为我在开玩笑kwpwf.dll这个文件才32个字节，开发人员在唬鬼啊，当DLL程序显示出来，这个就是绿坝密码的文件。”从这点来看，厂家的开发是非常粗糙的。
　　
　　
　　

分析家

　　关于安全性的问题，这个软件涉及到了操作系统底层、应用层以及网络传输和中心服务器系统，任何一个环节出了问题，导致的结果都是比较恐怖的，尤其是中心服务器系统的脆弱性也不能忽视，如果让人把软件自动更新的包改了的话，这个玩笑可就开大了。
　　
　　
　　

分析家

　　最后一点，关于4000W的费用问题，不知道谁当了冤大头，这东西从开发成本上很低，运营成本也不高，20人的Team绰绰有余，一年弄个700-800W完全可以吃香的喝辣。另外，这个软件本质上来说是关于网络内容方面的事，如果是文化部或者中宣部发文，工信部来执行还算说得过去，单独发文多少有点“狗拿耗子”的感觉。

分析家

　　看着大段的东西可能有点累，简单小结一下：
　　1，这东西具有木马的技术特征，很难保证它干了什么
　　2，安装以后很有可能导致系统稳定性的问题，到时候哭的时候别怪我没提醒
　　3,别相信可以完全卸载，其核心是嵌入到操作系统里的
　　4, 花4000W买一年的使用权实在有点大头