“綠壩”軟件深度評測研究報告（組圖）

一、“綠壩”聲震之因某年某月某日前，幾乎沒人知道也很少有人聽說過“綠壩”是個什么東西；某年某月某日后，在網絡一族中，已經是無人不曉了……一夜成名，緣起何因？“綠壩”到底是一款什么樣的工具？為何能夠如此神速的廣為人知，進而走入千家萬戶？網絡環境的凈化迫在眉睫，這款“綠壩”到底能夠給我們的網絡生活帶來什么樣的影響？帶著這些疑問，我們從“綠壩成名之因、綠壩基本性能、綠壩實戰測試”幾個方面來對這款具有神秘色彩的軟件做一次深入的了解。2009年4月8日，教育部、財政部、工業和信息化部、國務院新聞辦聯合發文，要求全國中小學校聯網的計算機終端全面安裝綠色上網過濾軟件，以凈化校園網絡環境，保障青少年身心健康成長。國家工業和信息化部要求：今年7月1日起，國內計算機生產銷售企業出廠和銷售的計算機必須以硬盤預裝或隨機光盤兩種方式預裝“綠壩-花季護航”綠色上網過濾軟件。此言一出即引發了社會各界的廣泛關注，很多網民和電腦商家都不約而同發出疑問：這個“綠壩”到底為何物？“綠壩”，又名“綠壩-花季護航”：是鄭州金惠的“金惠堵截黃色圖像和不良信息專家系統”以及北京大正的“花季護航上網管理軟件”組合之后的市場產品名。主要針對青少年上網群體，可過濾色情圖片、色情內容、暴力內容、過濾反審查軟件等。軟件采用語義分析技術，運用獨特的褒貶義判斷與紅黑判斷技術，根據全文語境鎖定不良信息，攔截色情內容，過濾不良網站，控制上網時間等；還可以自動截屏，隨時記錄電腦使用者的網絡“足跡”。工信部以4170萬元的訂單價格和綠壩開發商達成協議，此后，工信部還有望通過政府采購的方式，每年向兩家企業購買使用權，然后供社會免費使用。至此，綠壩響遍了整個國內網絡，猶如一石激起千層浪，很多家長紛紛表示歡迎，也有人認為這又將是一次作秀，當然很多網民都有自己不同的看法。且不管這些，我們真正關心的是，綠壩通過是如何通過監控用戶上網過濾有害信息來實現健康上網的呢？2、安裝過程綠壩-花季護航安裝許可畫面中，明確注明了“本產品可以過濾互聯網上的不良信息，但不保證能不良信息能完全被過濾，也不保證被過濾的信息完全是不良信息”，可以看出其官方也承認綠壩花季護航并不完美，在使用的過程中可能會出現上述問題。點評：綠壩-花季護航所有的文件都安裝在系統目錄（%WinDir%和%WinSysDir%）下，程序菜單沒有提供卸載入口，后發現卸載功能在主程序的一個菜單里。在啟用“綠壩-花季護航”的圖片過濾功能時，軟件會自動清除的瀏覽器緩存。在%WinDir%目錄下的xstring.s2g存放著該軟件所有文件的安裝路徑。三、“綠壩-花季護航”基本功能—系統設置1、軟件界面綠壩花季護航啟動后為總控界面，背景設計頗為卡通，看起來也很溫馨，藍天、白云、草地、小兔，還有可愛的蝴蝶。五個功能按鈕躍然屏幕上，分別為反饋信息、幫助、恢復密碼、日志查看和系統設置5大功能。2、系統設置系統設置提供了綠壩-花季護航的所有核心功能的設定。點擊“系統設置”按鈕，進入綠壩花季護航的功能設置畫面，但用戶必須要先輸入登錄密碼。進入后可以發現其中包括了系統設置、個性參數及日常維護等三大功能模塊，每個模塊內還包含一些子項。系統設置包括了系統的總控開關配置、圖像攔截、語義分析和上網時間控制等幾方面的設定；（1）總控開關通過總控開關用戶可以設定是否啟用內容過濾功能、斷開網絡及白名單訪問等，我們可以看到幾個不同的白名單選項，表明了不同程度的限制，其中“只允許訪問白名單”選項的限制為最高級別。（2）圖像攔截綠壩-花季護航通過創新的圖像識別技術，可以自動識別、攔截不良圖像，以增強過濾的有效性和實時性，并且圖像識別靈敏度越高，對色情圖像的判決率越高，但相應的誤判率也越高。在啟用了圖像自動識別功能后，如果打開的網頁出現不良圖象超過預定的5張圖片時，綠壩會自動把網頁地址添加到黑名單中。（3）語義分析綠壩花季護航還支持通過語義分析功能來自動對網頁及本地文字實時檢查，如果發現不健康信息，將對該瀏覽軟件進行關閉。（4）時間監控綠壩可通過時間控制來設定用戶一周7天24小時內，哪些時段允許訪問互聯網，哪些時段不允許訪問互聯網，一個方格表示一個小時的時間段；默認情況下所有的時間段都是禁止訪問互聯網，筆者在修改了測試當天時間段后（鼠標單擊變為綠色即可），隨即可上網沖浪。可以說，此功能非常的實用，用來控制青少年上網時間還是十分有效的，時間段到了之后可根據設定彈出斷網預警。不過缺陷是不能自由設定時間，必須以整小時段為間隔。四、“綠壩-花季護航”基本功能——過濾設定個性參數功能是設定監控和過濾信息的核心部分，在這里可以設定過濾詞匯、不良網站、黑白名單信息等。1、內容選擇從圖中我們可以看到一個很有趣的現象，這些被選定的網站原本應屬于被禁止訪問范圍，但軟件仍然提供了“全取消”的可選按鈕，讓用戶誤以為它還是很仁慈的，不過我們無法得知其背后強大的被過濾數據庫信息。因此，即便是你全部取消，在訪問不良網站時，程序仍然會自動把其列入黑名單中。2、個人定制綠壩可通過個人定制提供黑白名單、關鍵字及禁止上網的程序4大方式來限制或禁止相關程序及軟件的運行，這一塊是一個可以讓家長或管理員無限發揮的功能。自定義黑名單中，可以無限制的添加關鍵詞。打開系統默認提供的白名單，白名單數量不少，這些地址軟件默認是可以正常訪問的，但能夠輕松的進行刪除操作，也不需要密碼驗證。3、日志設定在日志設定欄目中，藏著一個“抓屏功能”，抓屏時間間隔可隨意設置，最短是一分鐘，當然抓屏功能是可選的，此外也能設置抓屏日志和文字日志的保存時間。如果沒有期限的話，恐怕C盤會被不斷積累的龐大的截圖文件和日志文件給撐爆了。五、“綠壩-花季護航”基本功能——日常維護日常維護包括了注冊升級、密碼卸載、界面幫助及網絡修復等方面的設定；綠壩花季護航由國家向全中國用戶免費提供1年的使用權，到2010年5月20日，在此期間用戶不必注冊也可免費升級。綠壩花季護航的初始密碼為“112233”，很容易泄露，已經廣為人知，所以用戶可以在此對密碼進行更改。另外用戶如果想卸載綠壩花季護航，必須到此進行卸載，而不是像傳統的程序那樣在開始菜單中提供卸載程序，此舉有力了保障了程序本身的安全性。綠壩花季護航還網絡修復功能。如果因為病毒、流氓軟件或者第三方軟件安裝不當造成網絡不通暢、瀏覽器不能訪問網頁，可以嘗試使用該功能修復。點評：介紹了這么多，我們大概了解了綠壩-花季護航的基本核心功能，軟件的界面設計和操作都十分的簡單明了，并且密碼保護機制也設計的頗為合理，很多功能的設定都需要通過密碼驗證才能實現操作。那么，綠壩到底威力有多大，需要通過實戰測試才能看個究竟，很多過濾和監控行為通過查看日志就能夠一目了然。六、“綠壩-花季護航”過濾功能之實戰演習筆者在百度中進行了大量的敏感詞匯以及部分成人類圖片搜索，出于多方面的考慮，實戰測試過程在這里給予忽略，重點看下綠壩是如何工作的。從綠壩的日志記錄中可以看到大量的有害信息記錄，它能夠按照各種分類URL過濾、IP過濾、關鍵字過濾、圖像過濾等等分別列舉出相關的日志信息。1、圖片文字過濾和語義分析先查看幾個實例：前面我們提到了設定不良圖片數量的選項，如果超過設定數目，程序會自動的添加網址到黑名單中，從下面的圖中可以到添加的信息。展現在程序界面中的結果：在測試訪問一個被禁止的視頻網時，綠壩很快彈出一個提示窗口“此信息不良，將被過濾掉”！隨后此頁面自動關閉，讓筆者沒有想到的是，整個瀏覽器都自動關閉了，如果使用IE6打開很多網址，所有的頁面窗口都會被關閉，并記錄在日志中。在抓屏記錄中，也會按照設定的時間間隔，對屏幕的操作進行監控和記錄。七、“綠壩-花季護航”過濾功能之技術分析1、圖像過濾和文字過濾圖像過濾：圖像檢測進程從待檢圖像隊列中獲取圖像數據，先歸一化圖像尺寸，然后分離膚色區域和非膚色區域，在對膚色區域關系進行分析后去除干擾，提取區域的特征送入已訓練SVM分類器。當圖像被檢為色情圖像后送入人臉檢測器，若人臉不是主要部分便確定為色情圖像。這套算法的主要問題是，色情圖像的識別嚴重依賴于膚色和膚色形狀；而最后使用人臉檢測加權判定也只是手工打補丁避免出現大幅人臉識別為色情圖像問題的辦法，且經驗權值可靠性缺乏驗證。綠霸使用了OpenCV的haar分類器進行人臉檢測，綠霸附帶的cximage.dll、CImage.dll、xcore.dll和Xcv.dll也來自OpenCV的庫文件，都反映出綠霸主要使用了OpenCV來進行圖像方面的處理。不過金惠公司承諾：圖像檢測正檢率>90%；誤檢率<7%；而檢出率=正檢率*色情圖像比例+(1–誤檢率)*(1–色情圖像比例)，在色情圖像占1%時，檢出率為93%。文字過濾方面：對政治性內容的分析和過濾，使用了北京大正語言知識處理科技有限公司提供的文字過濾引擎HncEng.exe、HncEngPS.dll、SentenceObj.dll，數據文件HNCLIB/FalunWord.lib中還包含以UTF-32LE編碼的除法輪功外大量政治和色情有關的詞匯。測試時發現如果在記事本或者WordPad中輸入任何高度敏感詞匯的字樣，都會關閉應用程序，但是在繪圖板和MSN中輸入這些字則不會有反應，這也說明其程序的不完備性。有高手分析出其過濾關鍵詞詞庫列表：(部分截圖)2、應用程序屏蔽金惠公司稱，綠霸軟件能夠控制未成年人上網、QQ、MSN及游戲的時間，避免過度沉溺于網絡，有效戒除網癮。除了上網時間的控制外，對應用程序的控制也是較為重要的一項。舉例添加QQ為禁止上網的程序，添加成功后，筆者嘗試登陸QQ，一直處于“正在登陸”狀態，沒有其他任何反應，也沒有彈出禁止提示。查看了下日志記錄，果然發現登陸QQ.exe被阻止的信息。技術分析點評：部分反編譯的內容發現有多種應用程序是其監控的對象：00468940.wow.exe.魔獸世界yaho00468980omessenger.exe..雅虎通..wangwang.exe阿里旺旺start.exe...004689C0網易POPO網易popouc.exe..新浪UC..新浪uc..icq.exe.ICQ600468A00icq6skype.exe...Skype...skype...eph.exe.e話通...doshow..msnm00468A40sgr.exe.MSN.msnmessenger...qqgame.exe..QQ游戲..qq游戲..qqchat.e00468A80xe..QQ聊天室qq聊天室qq.exe..QQ..qq2.bitbomet.exeBitC00468AC0ometbitcomet幾乎市面上所有常見文本編輯工具（EditPlus，UltraEdit，EmEditor）、辦公軟件（WPS三部件，MSOffice系列）、郵件客戶端、IM客戶端、瀏覽器都會受到監視。從injlib.exe中（偏移地址0x89e8）提取出的字串，反映出一部分可能受監控的程序：editplus.exeuedit32.exeemeditor.exewordpad.exenotepad.exewps.exewpp.exeet.exepowerpnt.exefrontpg.exeexcel.exemsaccess.exeoutlook.exewinword.exemailmagic.exepopo.exeqqmail.exeaixmail.exeimapp.exeincmail.exemsimn.exedm2005.exefoxmail.exegoogletalk.exemiranda32.exeimu.exeypager.exetmshell.exestart.exeuc.exeicqchatrobot.exeqq.exemsnmsgr.exegsfbwsr.exegreenbrowser.exetouchnet.exetheworld.exemaxthon.exettraveler.exenetscp.exege.exefirefox.exeopera.exenetcaptor.exemyie.exeiexplore.exemmc.exeregedit.exetaskmgr.exe雖然提取出的字串中有maxthon和firefox進程，但經過諸多網友的測試表明了，綠壩對maxthon的監控能力很差，對firefox幾乎是毫無檢測能力。3、綠壩潛在風險“綠壩?花季護航”軟件目前僅可工作于Windows（98-Vista）平臺，占用內存40M左右，安裝時無獨立路徑，強行爬入SYSTEM32目錄，任務欄不加載任何圖標；用戶的兩個進程分別為：XNet2.exe，XDaemon.exe；開機自啟動，運行進程共四個：XDaemon.exe、XNet2.exe、HncEng.exe、MPSvcC.exe，其中XNet2.exe在端口1234和1032監聽；安裝后“免費”注冊，網友堪稱其為變相實名制；圖像和語義過濾，開啟“非法活動”過濾項；插入大量消息鉤子，可監視鼠標和鍵盤活動；采用winsockspi過濾，可以對瀏覽器進程強制植入dll，程序的判斷操作沒有任何提示，目前不能監視Firefox瀏覽器，對傲游瀏覽器監視性差，與教學常用的電子教室沖突。軟件將把個人電腦與一個更新的被禁網站數據庫連接起來，阻止電腦訪問這些網絡地址，可過濾時政類信息，確切的功能涵蓋范圍未知。在這些看似強大而又弱智的監控功能背后，同時也深深埋下了一顆不定時炸彈，如果存在的安全漏洞一旦被黑客發現，恐怕所有安裝綠壩的電腦都將成為“肉雞”，重新演繹暴風事件也不是沒有可能……八、最后結語經過筆者的測試以及諸多網友測試綜合得出：1、綠壩-花季護航在默認情況下并不攔截色情圖片，需要打開該軟件進行設置才能開啟。2、默認開啟文字分析過濾功能，但測試顯示，輸入一些有可能搜索到色情信息的文字并未被攔截，使用者仍可以查看一些不良信