“綠壩”軟件深度評(píng)測(cè)研究報(bào)告（組圖）

“綠壩”軟件深度評(píng)測(cè)研究報(bào)告（組圖）

一、“綠壩”聲震之因某年某月某日前，幾乎沒(méi)人知道也很少有人聽(tīng)說(shuō)過(guò)“綠壩”是個(gè)什么東西；某年某月某日后，在網(wǎng)絡(luò)一族中，已經(jīng)是無(wú)人不曉了……一夜成名，緣起何因？“綠壩”到底是一款什么樣的工具？為何能夠如此神速的廣為人知，進(jìn)而走入千家萬(wàn)戶？網(wǎng)絡(luò)環(huán)境的凈化迫在眉睫，這款“綠壩”到底能夠給我們的網(wǎng)絡(luò)生活帶來(lái)什么樣的影響？帶著這些疑問(wèn)，我們從“綠壩成名之因、綠壩基本性能、綠壩實(shí)戰(zhàn)測(cè)試”幾個(gè)方面來(lái)對(duì)這款具有神秘色彩的軟件做一次深入的了解。2009年4月8日，教育部、財(cái)政部、工業(yè)和信息化部、國(guó)務(wù)院新聞辦聯(lián)合發(fā)文，要求全國(guó)中小學(xué)校聯(lián)網(wǎng)的計(jì)算機(jī)終端全面安裝綠色上網(wǎng)過(guò)濾軟件，以凈化校園網(wǎng)絡(luò)環(huán)境，保障青少年身心健康成長(zhǎng)。國(guó)家工業(yè)和信息化部要求：今年7月1日起，國(guó)內(nèi)計(jì)算機(jī)生產(chǎn)銷售企業(yè)出廠和銷售的計(jì)算機(jī)必須以硬盤(pán)預(yù)裝或隨機(jī)光盤(pán)兩種方式預(yù)裝“綠壩-花季護(hù)航”綠色上網(wǎng)過(guò)濾軟件。此言一出即引發(fā)了社會(huì)各界的廣泛關(guān)注，很多網(wǎng)民和電腦商家都不約而同發(fā)出疑問(wèn)：這個(gè)“綠壩”到底為何物？“綠壩”，又名“綠壩-花季護(hù)航”：是鄭州金惠的“金惠堵截黃色圖像和不良信息專家系統(tǒng)”以及北京大正的“花季護(hù)航上網(wǎng)管理軟件”組合之后的市場(chǎng)產(chǎn)品名。主要針對(duì)青少年上網(wǎng)群體，可過(guò)濾色情圖片、色情內(nèi)容、暴力內(nèi)容、過(guò)濾反審查軟件等。軟件采用語(yǔ)義分析技術(shù)，運(yùn)用獨(dú)特的褒貶義判斷與紅黑判斷技術(shù)，根據(jù)全文語(yǔ)境鎖定不良信息，攔截色情內(nèi)容，過(guò)濾不良網(wǎng)站，控制上網(wǎng)時(shí)間等；還可以自動(dòng)截屏，隨時(shí)記錄電腦使用者的網(wǎng)絡(luò)“足跡”。工信部以4170萬(wàn)元的訂單價(jià)格和綠壩開(kāi)發(fā)商達(dá)成協(xié)議，此后，工信部還有望通過(guò)政府采購(gòu)的方式，每年向兩家企業(yè)購(gòu)買(mǎi)使用權(quán)，然后供社會(huì)免費(fèi)使用。至此，綠壩響遍了整個(gè)國(guó)內(nèi)網(wǎng)絡(luò)，猶如一石激起千層浪，很多家長(zhǎng)紛紛表示歡迎，也有人認(rèn)為這又將是一次作秀，當(dāng)然很多網(wǎng)民都有自己不同的看法。且不管這些，我們真正關(guān)心的是，綠壩通過(guò)是如何通過(guò)監(jiān)控用戶上網(wǎng)過(guò)濾有害信息來(lái)實(shí)現(xiàn)健康上網(wǎng)的呢？2、安裝過(guò)程綠壩-花季護(hù)航安裝許可畫(huà)面中，明確注明了“本產(chǎn)品可以過(guò)濾互聯(lián)網(wǎng)上的不良信息，但不保證能不良信息能完全被過(guò)濾，也不保證被過(guò)濾的信息完全是不良信息”，可以看出其官方也承認(rèn)綠壩花季護(hù)航并不完美，在使用的過(guò)程中可能會(huì)出現(xiàn)上述問(wèn)題。點(diǎn)評(píng)：綠壩-花季護(hù)航所有的文件都安裝在系統(tǒng)目錄（%WinDir%和%WinSysDir%）下，程序菜單沒(méi)有提供卸載入口，后發(fā)現(xiàn)卸載功能在主程序的一個(gè)菜單里。在啟用“綠壩-花季護(hù)航”的圖片過(guò)濾功能時(shí)，軟件會(huì)自動(dòng)清除的瀏覽器緩存。在%WinDir%目錄下的xstring.s2g存放著該軟件所有文件的安裝路徑。三、“綠壩-花季護(hù)航”基本功能—系統(tǒng)設(shè)置1、軟件界面綠壩花季護(hù)航啟動(dòng)后為總控界面，背景設(shè)計(jì)頗為卡通，看起來(lái)也很溫馨，藍(lán)天、白云、草地、小兔，還有可愛(ài)的蝴蝶。五個(gè)功能按鈕躍然屏幕上，分別為反饋信息、幫助、恢復(fù)密碼、日志查看和系統(tǒng)設(shè)置5大功能。2、系統(tǒng)設(shè)置系統(tǒng)設(shè)置提供了綠壩-花季護(hù)航的所有核心功能的設(shè)定。點(diǎn)擊“系統(tǒng)設(shè)置”按鈕，進(jìn)入綠壩花季護(hù)航的功能設(shè)置畫(huà)面，但用戶必須要先輸入登錄密碼。進(jìn)入后可以發(fā)現(xiàn)其中包括了系統(tǒng)設(shè)置、個(gè)性參數(shù)及日常維護(hù)等三大功能模塊，每個(gè)模塊內(nèi)還包含一些子項(xiàng)。系統(tǒng)設(shè)置包括了系統(tǒng)的總控開(kāi)關(guān)配置、圖像攔截、語(yǔ)義分析和上網(wǎng)時(shí)間控制等幾方面的設(shè)定；（1）總控開(kāi)關(guān)通過(guò)總控開(kāi)關(guān)用戶可以設(shè)定是否啟用內(nèi)容過(guò)濾功能、斷開(kāi)網(wǎng)絡(luò)及白名單訪問(wèn)等，我們可以看到幾個(gè)不同的白名單選項(xiàng)，表明了不同程度的限制，其中“只允許訪問(wèn)白名單”選項(xiàng)的限制為最高級(jí)別。（2）圖像攔截綠壩-花季護(hù)航通過(guò)創(chuàng)新的圖像識(shí)別技術(shù)，可以自動(dòng)識(shí)別、攔截不良圖像，以增強(qiáng)過(guò)濾的有效性和實(shí)時(shí)性，并且圖像識(shí)別靈敏度越高，對(duì)色情圖像的判決率越高，但相應(yīng)的誤判率也越高。在啟用了圖像自動(dòng)識(shí)別功能后，如果打開(kāi)的網(wǎng)頁(yè)出現(xiàn)不良圖象超過(guò)預(yù)定的5張圖片時(shí)，綠壩會(huì)自動(dòng)把網(wǎng)頁(yè)地址添加到黑名單中。（3）語(yǔ)義分析綠壩花季護(hù)航還支持通過(guò)語(yǔ)義分析功能來(lái)自動(dòng)對(duì)網(wǎng)頁(yè)及本地文字實(shí)時(shí)檢查，如果發(fā)現(xiàn)不健康信息，將對(duì)該瀏覽軟件進(jìn)行關(guān)閉。（4）時(shí)間監(jiān)控綠壩可通過(guò)時(shí)間控制來(lái)設(shè)定用戶一周7天24小時(shí)內(nèi)，哪些時(shí)段允許訪問(wèn)互聯(lián)網(wǎng)，哪些時(shí)段不允許訪問(wèn)互聯(lián)網(wǎng)，一個(gè)方格表示一個(gè)小時(shí)的時(shí)間段；默認(rèn)情況下所有的時(shí)間段都是禁止訪問(wèn)互聯(lián)網(wǎng)，筆者在修改了測(cè)試當(dāng)天時(shí)間段后（鼠標(biāo)單擊變?yōu)榫G色即可），隨即可上網(wǎng)沖浪?？梢哉f(shuō)，此功能非常的實(shí)用，用來(lái)控制青少年上網(wǎng)時(shí)間還是十分有效的，時(shí)間段到了之后可根據(jù)設(shè)定彈出斷網(wǎng)預(yù)警。不過(guò)缺陷是不能自由設(shè)定時(shí)間，必須以整小時(shí)段為間隔。四、“綠壩-花季護(hù)航”基本功能——過(guò)濾設(shè)定個(gè)性參數(shù)功能是設(shè)定監(jiān)控和過(guò)濾信息的核心部分，在這里可以設(shè)定過(guò)濾詞匯、不良網(wǎng)站、黑白名單信息等。1、內(nèi)容選擇從圖中我們可以看到一個(gè)很有趣的現(xiàn)象，這些被選定的網(wǎng)站原本應(yīng)屬于被禁止訪問(wèn)范圍，但軟件仍然提供了“全取消”的可選按鈕，讓用戶誤以為它還是很仁慈的，不過(guò)我們無(wú)法得知其背后強(qiáng)大的被過(guò)濾數(shù)據(jù)庫(kù)信息。因此，即便是你全部取消，在訪問(wèn)不良網(wǎng)站時(shí)，程序仍然會(huì)自動(dòng)把其列入黑名單中。2、個(gè)人定制綠壩可通過(guò)個(gè)人定制提供黑白名單、關(guān)鍵字及禁止上網(wǎng)的程序4大方式來(lái)限制或禁止相關(guān)程序及軟件的運(yùn)行，這一塊是一個(gè)可以讓家長(zhǎng)或管理員無(wú)限發(fā)揮的功能。自定義黑名單中，可以無(wú)限制的添加關(guān)鍵詞。打開(kāi)系統(tǒng)默認(rèn)提供的白名單，白名單數(shù)量不少，這些地址軟件默認(rèn)是可以正常訪問(wèn)的，但能夠輕松的進(jìn)行刪除操作，也不需要密碼驗(yàn)證。3、日志設(shè)定在日志設(shè)定欄目中，藏著一個(gè)“抓屏功能”，抓屏?xí)r間間隔可隨意設(shè)置，最短是一分鐘，當(dāng)然抓屏功能是可選的，此外也能設(shè)置抓屏日志和文字日志的保存時(shí)間。如果沒(méi)有期限的話，恐怕C盤(pán)會(huì)被不斷積累的龐大的截圖文件和日志文件給撐爆了。五、“綠壩-花季護(hù)航”基本功能——日常維護(hù)日常維護(hù)包括了注冊(cè)升級(jí)、密碼卸載、界面幫助及網(wǎng)絡(luò)修復(fù)等方面的設(shè)定；綠壩花季護(hù)航由國(guó)家向全中國(guó)用戶免費(fèi)提供1年的使用權(quán)，到2010年5月20日，在此期間用戶不必注冊(cè)也可免費(fèi)升級(jí)。綠壩花季護(hù)航的初始密碼為“112233”，很容易泄露，已經(jīng)廣為人知，所以用戶可以在此對(duì)密碼進(jìn)行更改。另外用戶如果想卸載綠壩花季護(hù)航，必須到此進(jìn)行卸載，而不是像傳統(tǒng)的程序那樣在開(kāi)始菜單中提供卸載程序，此舉有力了保障了程序本身的安全性。綠壩花季護(hù)航還網(wǎng)絡(luò)修復(fù)功能。如果因?yàn)椴《?、流氓軟件或者第三方軟件安裝不當(dāng)造成網(wǎng)絡(luò)不通暢、瀏覽器不能訪問(wèn)網(wǎng)頁(yè)，可以嘗試使用該功能修復(fù)。點(diǎn)評(píng)：介紹了這么多，我們大概了解了綠壩-花季護(hù)航的基本核心功能，軟件的界面設(shè)計(jì)和操作都十分的簡(jiǎn)單明了，并且密碼保護(hù)機(jī)制也設(shè)計(jì)的頗為合理，很多功能的設(shè)定都需要通過(guò)密碼驗(yàn)證才能實(shí)現(xiàn)操作。那么，綠壩到底威力有多大，需要通過(guò)實(shí)戰(zhàn)測(cè)試才能看個(gè)究竟，很多過(guò)濾和監(jiān)控行為通過(guò)查看日志就能夠一目了然。六、“綠壩-花季護(hù)航”過(guò)濾功能之實(shí)戰(zhàn)演習(xí)筆者在百度中進(jìn)行了大量的敏感詞匯以及部分成人類圖片搜索，出于多方面的考慮，實(shí)戰(zhàn)測(cè)試過(guò)程在這里給予忽略，重點(diǎn)看下綠壩是如何工作的。從綠壩的日志記錄中可以看到大量的有害信息記錄，它能夠按照各種分類URL過(guò)濾、IP過(guò)濾、關(guān)鍵字過(guò)濾、圖像過(guò)濾等等分別列舉出相關(guān)的日志信息。1、圖片文字過(guò)濾和語(yǔ)義分析先查看幾個(gè)實(shí)例：前面我們提到了設(shè)定不良圖片數(shù)量的選項(xiàng)，如果超過(guò)設(shè)定數(shù)目，程序會(huì)自動(dòng)的添加網(wǎng)址到黑名單中，從下面的圖中可以到添加的信息。展現(xiàn)在程序界面中的結(jié)果：在測(cè)試訪問(wèn)一個(gè)被禁止的視頻網(wǎng)時(shí)，綠壩很快彈出一個(gè)提示窗口“此信息不良，將被過(guò)濾掉”！隨后此頁(yè)面自動(dòng)關(guān)閉，讓筆者沒(méi)有想到的是，整個(gè)瀏覽器都自動(dòng)關(guān)閉了，如果使用IE6打開(kāi)很多網(wǎng)址，所有的頁(yè)面窗口都會(huì)被關(guān)閉，并記錄在日志中。在抓屏記錄中，也會(huì)按照設(shè)定的時(shí)間間隔，對(duì)屏幕的操作進(jìn)行監(jiān)控和記錄。七、“綠壩-花季護(hù)航”過(guò)濾功能之技術(shù)分析1、圖像過(guò)濾和文字過(guò)濾圖像過(guò)濾：圖像檢測(cè)進(jìn)程從待檢圖像隊(duì)列中獲取圖像數(shù)據(jù)，先歸一化圖像尺寸，然后分離膚色區(qū)域和非膚色區(qū)域，在對(duì)膚色區(qū)域關(guān)系進(jìn)行分析后去除干擾，提取區(qū)域的特征送入已訓(xùn)練SVM分類器。當(dāng)圖像被檢為色情圖像后送入人臉檢測(cè)器，若人臉不是主要部分便確定為色情圖像。這套算法的主要問(wèn)題是，色情圖像的識(shí)別嚴(yán)重依賴于膚色和膚色形狀；而最后使用人臉檢測(cè)加權(quán)判定也只是手工打補(bǔ)丁避免出現(xiàn)大幅人臉識(shí)別為色情圖像問(wèn)題的辦法，且經(jīng)驗(yàn)權(quán)值可靠性缺乏驗(yàn)證。綠霸使用了OpenCV的haar分類器進(jìn)行人臉檢測(cè)，綠霸附帶的cximage.dll、CImage.dll、xcore.dll和Xcv.dll也來(lái)自O(shè)penCV的庫(kù)文件，都反映出綠霸主要使用了OpenCV來(lái)進(jìn)行圖像方面的處理。不過(guò)金惠公司承諾：圖像檢測(cè)正檢率>90%；誤檢率<7%；而檢出率=正檢率*色情圖像比例+(1–誤檢率)*(1–色情圖像比例)，在色情圖像占1%時(shí)，檢出率為93%。文字過(guò)濾方面：對(duì)政治性內(nèi)容的分析和過(guò)濾，使用了北京大正語(yǔ)言知識(shí)處理科技有限公司提供的文字過(guò)濾引擎HncEng.exe、HncEngPS.dll、SentenceObj.dll，數(shù)據(jù)文件HNCLIB/FalunWord.lib中還包含以UTF-32LE編碼的除法輪功外大量政治和色情有關(guān)的詞匯。測(cè)試時(shí)發(fā)現(xiàn)如果在記事本或者WordPad中輸入任何高度敏感詞匯的字樣，都會(huì)關(guān)閉應(yīng)用程序，但是在繪圖板和MSN中輸入這些字則不會(huì)有反應(yīng)，這也說(shuō)明其程序的不完備性。有高手分析出其過(guò)濾關(guān)鍵詞詞庫(kù)列表：(部分截圖)2、應(yīng)用程序屏蔽金惠公司稱，綠霸軟件能夠控制未成年人上網(wǎng)、QQ、MSN及游戲的時(shí)間，避免過(guò)度沉溺于網(wǎng)絡(luò)，有效戒除網(wǎng)癮。除了上網(wǎng)時(shí)間的控制外，對(duì)應(yīng)用程序的控制也是較為重要的一項(xiàng)。舉例添加QQ為禁止上網(wǎng)的程序，添加成功后，筆者嘗試登陸QQ，一直處于“正在登陸”狀態(tài)，沒(méi)有其他任何反應(yīng)，也沒(méi)有彈出禁止提示。查看了下日志記錄，果然發(fā)現(xiàn)登陸QQ.exe被阻止的信息。技術(shù)分析點(diǎn)評(píng)：部分反編譯的內(nèi)容發(fā)現(xiàn)有多種應(yīng)用程序是其監(jiān)控的對(duì)象：00468940.wow.exe.魔獸世界yaho00468980omessenger.exe..雅虎通..wangwang.exe阿里旺旺start.exe...004689C0網(wǎng)易POPO網(wǎng)易popouc.exe..新浪UC..新浪uc..icq.exe.ICQ600468A00icq6skype.exe...Skype...skype...eph.exe.e話通...doshow..msnm00468A40sgr.exe.MSN.msnmessenger...qqgame.exe..QQ游戲..qq游戲..qqchat.e00468A80xe..QQ聊天室qq聊天室qq.exe..QQ..qq2.bitbomet.exeBitC00468AC0ometbitcomet幾乎市面上所有常見(jiàn)文本編輯工具（EditPlus，UltraEdit，EmEditor）、辦公軟件（WPS三部件，MSOffice系列）、郵件客戶端、IM客戶端、瀏覽器都會(huì)受到監(jiān)視。從injlib.exe中（偏移地址0x89e8）提取出的字串，反映出一部分可能受監(jiān)控的程序：editplus.exeuedit32.exeemeditor.exewordpad.exenotepad.exewps.exewpp.exeet.exepowerpnt.exefrontpg.exeexcel.exemsaccess.exeoutlook.exewinword.exemailmagic.exepopo.exeqqmail.exeaixmail.exeimapp.exeincmail.exemsimn.exedm2005.exefoxmail.exegoogletalk.exemiranda32.exeimu.exeypager.exetmshell.exestart.exeuc.exeicqchatrobot.exeqq.exemsnmsgr.exegsfbwsr.exegreenbrowser.exetouchnet.exetheworld.exemaxthon.exettraveler.exenetscp.exege.exefirefox.exeopera.exenetcaptor.exemyie.exeiexplore.exemmc.exeregedit.exetaskmgr.exe雖然提取出的字串中有maxthon和firefox進(jìn)程，但經(jīng)過(guò)諸多網(wǎng)友的測(cè)試表明了，綠壩對(duì)maxthon的監(jiān)控能力很差，對(duì)firefox幾乎是毫無(wú)檢測(cè)能力。3、綠壩潛在風(fēng)險(xiǎn)“綠壩?花季護(hù)航”軟件目前僅可工作于Windows（98-Vista）平臺(tái)，占用內(nèi)存40M左右，安裝時(shí)無(wú)獨(dú)立路徑，強(qiáng)行爬入SYSTEM32目錄，任務(wù)欄不加載任何圖標(biāo)；用戶的兩個(gè)進(jìn)程分別為：XNet2.exe，XDaemon.exe；開(kāi)機(jī)自啟動(dòng)，運(yùn)行進(jìn)程共四個(gè)：XDaemon.exe、XNet2.exe、HncEng.exe、MPSvcC.exe，其中XNet2.exe在端口1234和1032監(jiān)聽(tīng)；安裝后“免費(fèi)”注冊(cè)，網(wǎng)友堪稱其為變相實(shí)名制；圖像和語(yǔ)義過(guò)濾，開(kāi)啟“非法活動(dòng)”過(guò)濾項(xiàng)；插入大量消息鉤子，可監(jiān)視鼠標(biāo)和鍵盤(pán)活動(dòng)；采用winsockspi過(guò)濾，可以對(duì)瀏覽器進(jìn)程強(qiáng)制植入dll，程序的判斷操作沒(méi)有任何提示，目前不能監(jiān)視Firefox瀏覽器，對(duì)傲游瀏覽器監(jiān)視性差，與教學(xué)常用的電子教室沖突。軟件將把個(gè)人電腦與一個(gè)更新的被禁網(wǎng)站數(shù)據(jù)庫(kù)連接起來(lái)，阻止電腦訪問(wèn)這些網(wǎng)絡(luò)地址，可過(guò)濾時(shí)政類信息，確切的功能涵蓋范圍未知。在這些看似強(qiáng)大而又弱智的監(jiān)控功能背后，同時(shí)也深深埋下了一顆不定時(shí)炸彈，如果存在的安全漏洞一旦被黑客發(fā)現(xiàn)，恐怕所有安裝綠壩的電腦都將成為“肉雞”，重新演繹暴風(fēng)事件也不是沒(méi)有可能……八、最后結(jié)語(yǔ)經(jīng)過(guò)筆者的測(cè)試以及諸多網(wǎng)友測(cè)試綜合得出：1、綠壩-花季護(hù)航在默認(rèn)情況下并不攔截色情圖片，需要打開(kāi)該軟件進(jìn)行設(shè)置才能開(kāi)啟。2、默認(rèn)開(kāi)啟文字分析過(guò)濾功能，但測(cè)試顯示，輸入一些有可能搜索到色情信息的文字并未被攔截，使用者仍可以查看一些不良信