绿坝关键词列表流出 小村姑2009-06-15 14:14:01

来源：网络

　　本帖立足于技术交流与探讨，请大家文明围观发言，谢谢合作。
　　管理员如觉不妥可删除之，勿跨省追捕。
　　欢迎不署名不写出处转载。 　　
　　
　　首先分析驴爸的二进制文件。injlib32.exe, 偏移量 89e8H
　　
　　000089e0h: F8 89 00 10 E8 89 00 10 65 64 69 74 70 6C 75 73 ; 鴫..鑹..editplus
　　000089f0h: 2E 65 78 65 00 00 00 00 75 65 64 69 74 33 32 2E ; .exe....uedit32.
　　00008a00h: 65 78 65 00 65 6D 65 64 69 74 6F 72 2E 65 78 65 ; exe.emeditor.exe
　　00008a10h: 00 00 00 00 77 6F 72 64 70 61 64 2E 65 78 65 00 ; ....wordpad.exe.
　　00008a20h: 6E 6F 74 65 70 61 64 2E 65 78 65 00 77 70 73 2E ; notepad.exe.wps.
　　00008a30h: 65 78 65 00 77 70 70 2E 65 78 65 00 65 74 2E 65 ; exe.wpp.exe.et.e
　　00008a40h: 78 65 00 00 70 6F 77 65 72 70 6E 74 2E 65 78 65 ; xe..powerpnt.exe
　　00008a50h: 00 00 00 00 66 72 6F 6E 74 70 67 2E 65 78 65 00 ; ....frontpg.exe.
　　00008a60h: 65 78 63 65 6C 2E 65 78 65 00 00 00 6D 73 61 63 ; excel.exe...msac
　　00008a70h: 63 65 73 73 2E 65 78 65 00 00 00 00 6F 75 74 6C ; cess.exe....outl
　　00008a80h: 6F 6F 6B 2E 65 78 65 00 77 69 6E 77 6F 72 64 2E ; ook.exe.winword.
　　00008a90h: 65 78 65 00 6D 61 69 6C 6D 61 67 69 63 2E 65 78 ; exe.mailmagic.ex
　　00008aa0h: 65 00 00 00 70 6F 70 6F 2E 65 78 65 00 00 00 00 ; e...popo.exe....
　　00008ab0h: 71 71 6D 61 69 6C 2E 65 78 65 00 00 61 69 78 6D ; qqmail.exe..aixm
　　00008ac0h: 61 69 6C 2E 65 78 65 00 69 6D 61 70 70 2E 65 78 ; ail.exe.imapp.ex
　　00008ad0h: 65 00 00 00 69 6E 63 6D 61 69 6C 2E 65 78 65 00 ; e...incmail.exe.
　　00008ae0h: 6D 73 69 6D 6E 2E 65 78 65 00 00 00 64 6D 32 30 ; msimn.exe...dm20
　　00008af0h: 30 35 2E 65 78 65 00 00 66 6F 78 6D 61 69 6C 2E ; 05.exe..foxmail.
　　00008b00h: 65 78 65 00 67 6F 6F 67 6C 65 74 61 6C 6B 2E 65 ; exe.googletalk.e
　　00008b10h: 78 65 00 00 6D 69 72 61 6E 64 61 33 32 2E 65 78 ; xe..miranda32.ex
　　00008b20h: 65 00 00 00 69 6D 75 2E 65 78 65 00 79 70 61 67 ; e...imu.exe.ypag
　　00008b30h: 65 72 2E 65 78 65 00 00 74 6D 73 68 65 6C 6C 2E ; er.exe..tmshell.
　　00008b40h: 65 78 65 00 73 74 61 72 74 2E 65 78 65 00 00 00 ; exe.start.exe...
　　00008b50h: 75 63 2E 65 78 65 00 00 69 63 71 63 68 61 74 72 ; uc.exe..icqchatr
　　00008b60h: 6F 62 6F 74 2E 65 78 65 00 00 00 00 71 71 2E 65 ; obot.exe....qq.e
　　00008b70h: 78 65 00 00 6D 73 6E 6D 73 67 72 2E 65 78 65 00 ; xe..msnmsgr.exe.
　　00008b80h: 67 73 66 62 77 73 72 2E 65 78 65 00 67 72 65 65 ; gsfbwsr.exe.gree
　　00008b90h: 6E 62 72 6F 77 73 65 72 2E 65 78 65 00 00 00 00 ; nbrowser.exe....
　　00008ba0h: 74 6F 75 63 68 6E 65 74 2E 65 78 65 00 00 00 00 ; touchnet.exe....
　　00008bb0h: 74 68 65 77 6F 72 6C 64 2E 65 78 65 00 00 00 00 ; theworld.exe....
　　00008bc0h: 6D 61 78 74 68 6F 6E 2E 65 78 65 00 74 74 72 61 ; maxthon.exe.ttra
　　00008bd0h: 76 65 6C 65 72 2E 65 78 65 00 00 00 6E 65 74 73 ; veler.exe...nets
　　00008be0h: 63 70 2E 65 78 65 00 00 67 65 2E 65 78 65 00 00 ; cp.exe..ge.exe..
　　00008bf0h: 66 69 72 65 66 6F 78 2E 65 78 65 00 6F 70 65 72 ; firefox.exe.oper
　　00008c00h: 61 2E 65 78 65 00 00 00 6E 65 74 63 61 70 74 6F ; a.exe...netcapto
　　00008c10h: 72 2E 65 78 65 00 00 00 6D 79 69 65 2E 65 78 65 ; r.exe...myie.exe
　　00008c20h: 00 00 00 00 69 65 78 70 6C 6F 72 65 2E 65 78 65 ; ....iexplore.exe
　　00008c30h: 00 00 00 00 6D 6D 63 2E 65 78 65 00 72 65 67 65 ; ....mmc.exe.rege
　　00008c40h: 64 69 74 2E 65 78 65 00 74 61 73 6B 6D 67 72 2E ; dit.exe.taskmgr.
　　00008c50h: 65 78 65 00 6D 70 73 76 63 63 2E 65 78 65 00 00 ; exe.mpsvcc.exe..
　　
　　什么意思？驴爸软件将监控下列软件：
　　文本编辑软件：EdiPlus，UltraEdit，EmEditor, 写字板，记事本
　　办公软件：WPS的Word、Presentation、Spreadsheet，微软的Word、Powerpoint、FrontPage、Excel、Access、Outlook
　　电子邮件客户端：mailmagic.exe popo.exe qqmail.exe aixmail.exe imapp.exe incmail.exe msimn.exe dm2005.exe foxmail.exe
　　即时通讯工具：Google Talk，Miranda32，imu.exe，ypager.exe，腾讯QQ和TM，start.exe，新浪UC，ICQ，MSN
　　浏览器类：GoSuRF，GreenBrowser，TouchNet，TheWorld，MaxThone，腾讯套套浏览器，NetScape，Firefox(说明书里说只能监控到2.0版本)，Opera，NetCaptor，MyIE，IE
　　系统工具类：mmc, regedit, taskmgr
　　
　　在看看XNet2.exe，偏移量 68968h，看看驴爸将会监控那些程序
　　
　　00068960h: B3 CC D0 F2 00 00 00 00 77 6F 77 2E 65 78 65 00 ; 程序....wow.exe.
　　00068970h: C4 A7 CA DE CA C0 BD E7 00 00 00 00 79 61 68 6F ; 魔兽世界....yaho
　　00068980h: 6F 6D 65 73 73 65 6E 67 65 72 2E 65 78 65 00 00 ; omessenger.exe..
　　00068990h: D1 C5 BB A2 CD A8 00 00 77 61 6E 67 77 61 6E 67 ; 雅虎通..wangwang
　　000689a0h: 2E 65 78 65 00 00 00 00 B0 A2 C0 EF CD FA CD FA ; .exe....阿里旺旺
　　000689b0h: 00 00 00 00 73 74 61 72 74 2E 65 78 65 00 00 00 ; ....start.exe...
　　000689c0h: CD F8 D2 D7 50 4F 50 4F 00 00 00 00 CD F8 D2 D7 ; 网易POPO....网易
　　000689d0h: 70 6F 70 6F 00 00 00 00 75 63 2E 65 78 65 00 00 ; popo....uc.exe..
　　000689e0h: D0 C2 C0 CB 55 43 00 00 D0 C2 C0 CB 75 63 00 00 ; 新浪UC..新浪uc..
　　000689f0h: 69 63 71 2E 65 78 65 00 49 43 51 36 00 00 00 00 ; icq.exe.ICQ6....
　　00068a00h: 69 63 71 36 00 00 00 00 73 6B 79 70 65 2E 65 78 ; icq6....skype.ex
　　00068a10h: 65 00 00 00 53 6B 79 70 65 00 00 00 73 6B 79 70 ; e...Skype...skyp
　　00068a20h: 65 00 00 00 65 70 68 2E 65 78 65 00 65 BB B0 CD ; e...eph.exe.e话?
　　00068a30h: A8 00 00 00 64 6F 73 68 6F 77 00 00 6D 73 6E 6D ; ?..doshow..msnm
　　00068a40h: 73 67 72 2E 65 78 65 00 4D 53 4E 00 6D 73 6E 20 ; sgr.exe.MSN.msn
　　00068a50h: 6D 65 73 73 65 6E 67 65 72 00 00 00 71 71 67 61 ; messenger...qqga
　　00068a60h: 6D 65 2E 65 78 65 00 00 51 51 D3 CE CF B7 00 00 ; me.exe..QQ游戏..
　　00068a70h: 71 71 D3 CE CF B7 00 00 71 71 63 68 61 74 2E 65 ; qq游戏..qqchat.e
　　00068a80h: 78 65 00 00 51 51 C1 C4 CC EC CA D2 00 00 00 00 ; xe..QQ聊天室....
　　00068a90h: 71 71 C1 C4 CC EC CA D2 00 00 00 00 71 71 2E 65 ; qq聊天室....qq.e
　　00068aa0h: 78 65 00 00 51 51 00 00 71 71 32 00 62 69 74 62 ; xe..QQ..qq2.bitb
　　00068ab0h: 6F 6D 65 74 2E 65 78 65 00 00 00 00 42 69 74 43 ; omet.exe....BitC
　　00068ac0h: 6F 6D 65 74 00 00 00 00 62 69 74 63 6F 6D 65 74 ; omet....bitcomet
　　00068ad0h: 00 00 00 00 B7 D6 CE F6 CD EA B3 C9 A1 A3 00 00 ; ....分析完成。..
　　
　　具体的我就懒得写了。凡是窗口标题栏有这些文字的统统会遭到监视。
　　
　　搜索引擎监控，来自Surfgd.dll，偏移量16390h
　　
　　
　　00016390h: 2E 6D 73 6E 2E 63 6F 6D 00 00 00 00 2E 79 6F 6B ; .msn.com.....yok
　　000163a0h: 61 2E 63 6F 6D 00 00 00 2E 79 61 68 6F 6F 2E 63 ; a.com....yahoo.c
　　000163b0h: 6F 6D 00 00 2E 79 69 6D 67 2E 63 6F 6D 00 00 00 ; om...yimg.com...
　　000163c0h: 2E 62 61 69 64 75 2E 63 6F 6D 00 00 2E 63 6F 70 ; .baidu.com...cop
　　000163d0h: 79 73 6F 2E 63 6F 6D 00 2E 6D 61 70 62 61 72 2E ; yso.com..mapbar.
　　000163e0h: 63 6F 6D 00 2E 6E 65 74 73 75 6E 2E 63 6F 6D 00 ; com..netsun.com.
　　000163f0h: 2E 66 6F 6C 6F 64 61 2E 63 6F 6D 00 2E 6E 70 69 ; .foloda.com..npi
　　00016400h: 63 70 2E 63 6F 6D 00 00 2E 64 69 63 74 2E 63 6E ; cp.com...dict.cn
　　00016410h: 00 00 00 00 2E 79 6F 6B 2E 63 6F 6D 00 00 00 00 ; .....yok.com....
　　00016420h: 2E 7A 68 6F 6E 67 73 6F 75 2E 63 6F 6D 00 00 00 ; .zhongsou.com...
　　00016430h: 2E 73 6F 67 6F 75 2E 63 6F 6D 00 00 2E 79 61 68 ; .sogou.com...yah
　　00016440h: 6F 6F 2E 63 6F 6D 2E 63 6E 00 00 00 2E 73 6F 73 ; oo.com.cn....sos
　　00016450h: 6F 2E 63 6F 6D 00 00 00 2E 67 6F 6F 67 6C 65 2E ; o.com....google.
　　00016460h: 63 6E 00 00 2E 67 6F 6F 67 6C 65 2E 63 6F 6D 00 ; cn...google.com.
　　
　　dbfilter.dll，这个是直接把你的Windows的winsock2给监听了，也就是说所有从你网卡经过的每一个字节都会被扫描和分析。
　　
　　现放出来自直接解密安装路径下的 .dat 文件的关键字列表，并稍加解说
　　
　　wfile.dat - http://privatepaste.com/450zZe32hn
　　这个文件说明了过滤文件类型
　　
　　TrustUrl.dat - http://privatepaste.com/4c0Q3tzzb0
　　信任网址。这些网站毫无疑问都是老大哥信得过的。值得全球站长屏蔽这些网站。这是驴爸软件中最有价值的一份列表，这些网站都是XX喉舌
　　
　　vgamfil.dat - http://privatepaste.com/1auoil5bP2
　　所谓“暴力”游戏类。都有屏蔽了什么游戏呢？Quake，Quake2，Quake3，你们PLA训练用的counter- strike.net，F22 Raptor，古墓丽影（这也算暴力类？），古墓丽影II，星际争霸（暴力类？我看是“封建迷信”吧？），暴雪母公司 activision.com，duke4.com，万年跳票的dukeforever.com，ff8online.com，half- life.com，stormtroopers.com，unreal.org等等。建议大家以后只打清廉战士。
　　
　　chtfil.dat - http://privatepaste.com/32hbY5XUgy
　　屏蔽了AOL，AIM，Yahoo，MSN
　　
　　csnews.dat - http://privatepaste.com/bb1RyuqiVu
　　这个文件是最喜剧的，驴爸抄袭美国人的过滤库就算了，还很临时工的把cybersitter别人的readme文件一起抄过来了
　　
　　entfil.dat - http://privatepaste.com/bd0qklsJuD
　　娱乐类过滤。这里屏蔽了BSG和Firefly的scifi.com，StarTrek.com，StarWars.com，这样Geek四大剧就被围剿得一个不剩了。另外southpark、pokemon、xfiles和BritneySpears也是监视关键字。 blizzard.com暴雪公司官方网站被屏蔽
　　
　　finfil.dat - http://privatepaste.com/b414bkBNPv
　　金融类过滤。包括华尔街时报www.wsj.com，www.ft.com，www.sec.gov等
　　
　　fmfil.dat - http://privatepaste.com/3d114bf1mD
　　电子邮件监控。hotmail.com，gmail.com，甚至www.mail开头的都会受到特别关注。
　　
　　fshrfil.dat - http://privatepaste.com/b8kPPu9ZiV
　　文件共享监控。监控市面上几乎所有的P2P客户端和软件。gnutella, bearshare, emule, wrapster,
　　scourexchange, imesh, audiogalaxy, kazaa, filesharing, morpheus, limewire,
　　javalimewire, gnutella, wrapster, scourexchange, shareaza, kazaalite,
　　bittorrent, azureus
　　
　　
　　gdwfil.dat - http://privatepaste.com/49ftIfdRqJ
　　屏蔽了amazon.com，还有这款山寨软件的祖宗 cybersitter*.com，download.windowsupdate.com，liveupdate.symantec.com，symantec.liveupdate.com，microsoft.com，symantec.com，windowsupdate.com，zdnet.com。也就是说安装了某软件，Windows的补丁和杀毒软件升级，要么被监控，要么就被直接屏蔽了。有人说这个文件是白名单，请问在同一个列表里的 amnesty.org，virgin-boys，porno-free.net这些东西也可能是白名单吗？ 　　
　　
　　imgfil.dat - http://privatepaste.com/cehwHinyM0
　　这里屏蔽了很多图片类网站，只要URL包含下列字符就会像GFW一样被RST，例如google.ca/image，google.com /image，当然还有Yahoo的yahoo.com/image，还有视频搜索屏蔽 searchcat=vid，video.search.yahoo。请问老大哥究竟有什么见不得人的东西要把图片和视频搜索统统屏蔽呢？
　　
　　mp3fil.dat - http://privatepaste.com/f0uBTti5uh
　　mp3 类。封杀了一些MP3共享软件，例如gnutella, bearshare, wrapster, scourexchange, imesh, audiogalaxy, kazaa, filesharing, morpheus, limewire, gnutella, wrapster, scourexchange
　　
　　wrestfil.dat - http://privatepaste.com/eapAh32NC8
　　摔跤类。主要是WWE美摔之类的被屏蔽了。没有屏蔽K1，说明的确是抄袭cybersitter
　　
　　pkmon.dat - http://privatepaste.com/580KvOFYV4 (POKEMON!)
　　文件名就很囧。Pokemon就是吃豆子游戏。这份名单貌似过滤了一些anime和manga
　　
　　sporfil.dat - http://privatepaste.com/e20QeOlezv
　　体育类过滤。屏蔽了www.nba.com和wnba.com，还有其他的太多了。。。 　　
　　
　　--------------------分割线--------------------
　　
　　下面的.dat文件内容，几乎都来自cybersitter，山寨程度可见一斑
　　
　　wfileu.dat - http://privatepaste.com/9c0oaeS0i1
　　这个网址就是cybersitter的升级地址了，居然还保留了。你说驴爸这软件山寨不山寨？
　　
　　wzfil.dat - http://privatepaste.com/170Epo2wTZ
　　游戏破解 　　
　　
　　adwapp.dat - http://privatepaste.com/aey5BIlkyx
　　adult类网站过滤（严格）
　　
　　adwfil.dat - http://privatepaste.com/091MdBUyDv
　　adult类网站过滤 　　
　　
　　lgwfil.dat - http://privatepaste.com/a1ndIrVvEn
　　同志类网站，不熟悉，不评价。
　　
　　iawfil.dat - http://privatepaste.com/951A0xSKW2
　　非法类。照抄cybersitter的名单
　　
　　auctfil.dat - http://privatepaste.com/f20vFALQPl 　　
　　
　　bnrfil.dat - http://privatepaste.com/76uATdcCsN
　　屏蔽广告
　　
　　bsnlst.dat - http://privatepaste.com/b6tJvZlQJN
　　
　　cultfil.dat - http://privatepaste.com/dc1NtZn183
　　文化过滤，包括GeorgeKing，scientology，ChurchOfSatan一类的。还是抄袭cybersitter
　　
　　gblfil.dat - http://privatepaste.com/53CXciru9I
　　貌似是赌博类。
　　
　　gnfil.dat - http://privatepaste.com/c6lU71HHUT
　　枪支类。
　　
　　hatfil.dat - http://privatepaste.com/1005oQLOJv
　　种族仇恨类。
　　
　　*****fil.dat - http://privatepaste.com/7d1cmQ7bdW
　　招聘类。
　　
　　movfil.dat - http://privatepaste.com/99cMT8Xjyr
　　电影类
　　
　　nvgamfil.dat - http://privatepaste.com/9aYQOBgQoU
　　又一个游戏类过滤。nv game filter.dat？
　　
　　perfil.dat - http://privatepaste.com/7driTj667b
　　sex类过滤
　　
　　picsfil.dat - http://privatepaste.com/34TI4cSbZE
　　
　　popfil.dat - http://privatepaste.com/c10gAsIEuq
　　广告弹窗类过滤
　　
　　psyfil.dat - http://privatepaste.com/ae0GA79ZFm
　　封建迷信和超自然类过滤。
　　
　　swfil.dat - http://privatepaste.com/aeSIsoDlKd
　　盗版软件过滤。
　　
　　tafil.dat - http://privatepaste.com/26FTx1Dfjz
　　酒精类过滤。抄袭cybersitter的名单
　　
　　tapfil.dat - http://privatepaste.com/ae0UoosGMk
　　纹身类过滤。
　　
　　viofil.dat - http://privatepaste.com/f79OiqXC6J
　　暴力自杀类。
　　
　　注意这些网址文件，结合以前网上流传出来的FalunWord.lib，我们可以得出一个很惊人的结论
　　
　　　　国内网站很少被屏蔽，.cn的网址很少出现。
　　
　　为什么说这个结论很惊人
　　
　　1. 为什么屏蔽对象仅仅局限于欧洲国家、美国的sex情暴力网站，甚至阿拉伯国家的极端宗教网站
　　1. 为什么这个耗资4170万的软件屏蔽对孩子有害的网站，都直接非法抄袭来自cybersitter的名单
　　3. 我知道的几个XX网站，名单里一个都没有！
　　4. 为什么几乎不怎么屏蔽国内垃圾站呢？国内的垃圾站还少了吗？
　　
　　一个很不情愿的猜测就是官老爷们压根不是认真做家长类软件的。这个软件压根就不是为了保护纳税人的孩子的。为是为了该软件的一些“附加功能 ”。例如汇报老大哥。比较善意的猜测就是一些利益集团想再度搜刮老百姓（特别是家电下乡的那些）利用国家手段强制搞的一个政策罢了。
　　
　　最后要感谢http://scott.wolchok.org/greendam.html（解密源码的C算法在http: //scott.wolchok.org/gddec.c，大家可以编译，自行解驴爸软件的.dat看看有那些网址），这些成果和你们的辛勤劳动是分不开的。

请阅读更多我的博客文章>>>

知识阶层的布尔乔亚化

揭秘:人临死前一秒会看到什么？

有幸生在了一个连仆人都开宝马的国度

那个可爱的奥威尔

菩萨低眉

是转帖。：)

绿芭娘自带没有加密成人网址大全文件，太山寨了。