果然整个Google主站 都遭到厄运

北京时间2009年6月24日，晚22时20分。

C:\Users\yksoft_user>nslookup www.google.com
*** Can't find server name for address 192.168.18.1: No response from server
Server: resolver1.opendns.com
Address: 208.67.222.222

Name: www.google.com
Address: 64.33.88.161

这个IP是那永远不可能连上的8个IP之一。

C:\Users\yksoft_user>nslookup google.com
*** Can't find server name for address 192.168.18.1: No response from server
Server: resolver1.opendns.com
Address: 208.67.222.222

Non-authoritative answer:
Name: google.com
Addresses: 74.125.127.100, 74.125.67.100, 74.125.45.100
这三个IP呢？

C:\Users\yksoft_user>tracert 74.125.67.100

Tracing route to gw-in-f100.google.com [74.125.67.100]
over a maximum of 30 hops:

1 * * * Request timed out.
2 62 ms 112 ms 120 ms 222.247.29.89
3 62 ms 66 ms 58 ms 61.187.255.233
4 89 ms 71 ms 71 ms 61.137.2.177
5 73 ms 93 ms 64 ms 202.97.46.29
6 161 ms * 253 ms 202.97.35.69
7 128 ms 90 ms 107 ms 202.97.37.117
8 246 ms 279 ms 301 ms 202.97.33.62
9 302 ms 255 ms 229 ms 202.97.33.2
10 350 ms * 252 ms 202.97.33.5
11 357 ms 346 ms 229 ms 202.97.5.138
12 282 ms * 275 ms 209.85.249.192
13 556 ms 641 ms * 216.239.43.212
14 586 ms * 677 ms 209.85.241.210
15 612 ms 757 ms 593 ms 209.85.249.18
16 709 ms 655 ms 649 ms 209.85.242.215
17 660 ms * 531 ms 72.14.239.131
18 725 ms 712 ms 722 ms 209.85.255.198
19 * 696 ms 630 ms gw-in-f100.google.com [74.125.67.100]

Trace complete.

看上去还是能通。然而Google直接80端口上.com会被重定向到www，又上到了那8个IP中的一个。

D:\OperaTor\Tor>tor-resolve www.google.com
202.181.7.85

这个呢？

D:\OperaTor\Tor>tracert 202.181.7.85

Tracing route to 202.181.7.85 over a maximum of 30 hops

1 * * * Request timed out.
2 119 ms 126 ms 57 ms 222.247.29.45
3 117 ms 163 ms * 61.187.255.221
4 60 ms 125 ms 116 ms 61.137.0.133
5 152 ms 155 ms 201 ms 202.97.40.173
6 370 ms 303 ms 339 ms 202.97.35.57
7 124 ms 180 ms 190 ms 202.97.48.26
8 * * * Request timed out.
9 * * * Request timed out.
10 * * * Request timed out.
11 * * * Request timed out.
12 * * * Request timed out.
13 ^C

然后再来看一个：

http://search.yahoo.com/search;_ylt=A0oGkwScNEJKIUMBSjil87UF?p=.google.com&fr=sfp&fr2=&iscqry=

重置了吧？

看来这次又是这年来常用的三层一起上，而且这次是罕有的事先放出风声（对李开复的流氓分公司做出“暂停海外搜索”的处罚），决不会像前年6月雅虎那样就来一天时间。这次依赖于Google的许多人受影响可就大了！

Update 6.25 早9：10：看来是我的预计错误，或者是影响过大，这次的时间居然比前年的雅虎还要短。今天早上Google总部的所有服务都能用了。

再Update 6.25 早9：50：向www的DNS请求仍然时不时被劫持。看来果然事件还没有结束。

再Update 6.25 晚19：45：经历了中国电信主干网络接近两个小时的严重问题之后，其防火墙系统的工作却并没有受到影响。

再Update 6.25 晚23：30：使用本地的DNS，同样能够正常进入google.com。事件终告一段落。

网上找到的“绿坝”v3.17专用卸载工具

经我的测试，在 VMWare 中干净安装的 WinXP 中安装的目前3.17版的“绿坝”确实能被卸载干净。
运行截图：

找到的下载地址：
http://rapidshare.de/files/47496697/LBUninstall-v317-v1.0.rar.html

我认为7月1日那个版本，因为3.17版已经被各路高手翻了个底朝天，业余性暴露无遗，因此一定会有大范围改动的。到时候这个管不管用，就很值得怀疑了。

Update 6.13 16:30：6月12日此软件又有两种不同的更新，其中有一种更新似乎不再监视记事本等程序。但是这个工具此时仍然能发挥作用将其完全卸载。

Update 6.21 21:30：此软件最新的3.174版本仍然能被此工具彻底卸载。另外，其Winsock LSP层的关键词过滤有效果了。但那个洋大人发现的栈溢出漏洞仍然有效。

Update 8.5 0:50：原链接已经失效。我提供新的链接，其中是这个卸载工具的修正版：
http://cid-66b9967ec9d22dd4.skydrive.live.com/self.aspx/.Public/LBUninstall-v317-v1.02.rar

“绿坝”软件的进一步发现

这应该是一些我发现了而别人没有发现的东西。
1、服务Mpsvcc.exe有 -removejh 的参数，用这个参数运行就会自删除服务和自动停止；hnceng.exe有类似的 -remove 参数。这两个服务被中止后，“绿坝”就立即形同虚设（至少最重要的关键词过滤没用了）。
2、会尝试往所有进程都注入个InjLib32.dll，但是在其进行文字过滤时（被文字过滤的程序还会进一步注入Handler.dll、HncengPS.dll和Sentenceobj.dll），对进程名是有要求的（如notepad.exe会被注入，而改名为np.exe就不会）。而那个Handler.dll似乎还有Hook API保护文件、注册表项和键值的能力。
3、图像过滤功能是检测IE缓存中的图像，经常突然无法使用，而且对.png的图片根本就不会过问。
4、负责弹出那个 此信息不良 的模块叫做poppo.dll。
5、和我之前想的不同，其实那个winsock LSP dbfilter.dll 有分析HTTP请求，监视某个黑名单中的url并关闭连接的功能。但是它并不会通过分析URL后继续抓包分析关键词，因此在IDS角度看仍然非常简单，没有某第2层那样的能力。
6、其日志文件的“加密”方法是把每个字符的值加1。。。
7、hnc关键词分析过滤组件和winsock lsp URL过滤组件之间是独立的。
8、xnet2、mpsvcc在启动时会自动试图恢复Winsock LSP组件，但是xnet2却不能恢复mpsvcc和hnceng，在后两个服务被删除/卸载的状态下，xnet2会干脆报错退出。
9、xdaemon和xnet2构成双进程保护。

我认为，要完美卸载这个版本的绿坝，需要知道其自身文件列表。我的Thinstall快照可以拿来参考。第一步是把mpsvcc和hnceng用自带
参数卸载掉，然后结束xdaemon/xnet2，然后把已经注入的DLL之外的文件全部删除，删除各注册表项，恢复Winsock LSP表，那几个剩下的DLL，重启后删除就没问题了。

update 6.15:有人告诉了我绿坝.dat文件解密的方法（一种一个字节变成两个字节的算法，具体看程序），因此自己写了一段小程序。
/*绿坝.dat加密文件解密程序*/
#include
#include
typedef struct gd16word{
unsigned char lo;
unsigned char hi;
}gd16wrd;
char decgd16(gd16wrd a)
{unsigned int r1,r2,r3;
r1=a.lo<<4;
r2=a.hi&15;
r1=r1|r2;
r1=~r1;
r3=~r1^(char)r1;
r3=r3&51;
r2=r1^r3;
return (char)r2;}

main(int argc, char* argv[]){
char ofn[300];
char c;
int d,i;
gd16wrd buf;
FILE *fi,*fo;
printf("GreenDam 3.713 .dat decoder by yksoft1\n");
if(argc<2)
{
printf("Usage: gd16d inputfile, [output file]\r\n");
return;
}
if ((fi = fopen(argv[1], "rb")) ==NULL){
printf("Error opening input file %s\n",argv[1]);
exit(1); }
if(argc==2)
{strcpy(ofn,argv[1]);
i=strlen(ofn)-1;
while(i>0&&ofn[i]!='.')
i--;
ofn[i]='\0';
strcat(ofn,".txt");
}
else strcpy(ofn, argv[2]);
if ((fo = fopen(ofn,"wb")) ==NULL){
printf("Error opening file for output!\n");
exit(1); }
while(fread(&buf,sizeof(gd16wrd),1,fi))
{
c=decgd16(buf);
if(c!=22)/*回车换行0D 0A在原文件实际上就是回车换行符，解密后成为16*/
fprintf(fo,"%c",c);
else fprintf(fo,"\r\n");
}
fclose(fo);
fclose(fi);
printf("Completed decrypting %s to %s",argv[1],ofn);
}

Safari 4.0 for Windows - 正式版

Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Safari/530.17
经过半年以上的开发，Safari 4.0终于更新至正式版本。正式版本保留了Public Beta版本的新功能——书签 Cover Flow 浏览视图和 Top Sites 带特效的最常访问列表。但是Public Beta版最特别的地方——类似Chrome的把标签页内置于标题栏的做法，并没有保留下来，而是使用了传统的标签栏置于工具栏、书签菜单之下的做法。这次Windows版中，关闭标签的按钮终于移动到标签右侧而不再和Mac版一样是左侧了。
不过，Public Beta版中的Windows专用UI，这次基本保留下来。但地址栏中的文本键入的柔化显示被禁止，可能是为了减少拖慢吧。



下载：http://www.mediafire.com/?yyindmyldmo

某工信部投资4000万，准备全部品牌机预装的“绿坝”软件

此软件确实能达到一些效果。不过经过我的测试，在很多方面，它都相当地符合病毒、木马和流氓软件的定义。

1、所有模块和数据文件安装在Windows、System32目录下，安装服务，安装驱动程序和WinSock过滤器。

2、无卸载程序，无任何安装日志。

3、尝试注入各进程，因而实现关键词过滤、文本过滤等很多功能。

4、2进程与一服务的互相守护，ring3下防进程终止保护。

5、通过WinSock过滤器实现所谓的“上网时间限制”（我搞不明白，既然已经作了winsock过滤器，为何不拿它来做一个真正的本地IDS系统而还要在应用程序上下功夫？）

6、没有ring0级别的防御和病毒木马常用的IFEO劫持、getwindowtext过滤之类的自我保护。这样，在IceSword、SnipeSword（狙剑）等安全工具的强力攻击下，整个软件很快就会被完全击溃（唯一麻烦在于WinSock SPI）。

我的建议是：增加对软件的getwindowtext过滤和特征码过滤（现在的东西可不是靠一个文件名就能唯一识别的）；把文字过滤项转移到winsock层，可以对任何网络程序进行过滤而不是仅仅针对IE内核的浏览器；日志要加密，要搞后台自动发送，截图要压缩。。总之果然是典型的国产半吊子货，还有，我搞不清这个和某个MatinSoft的GoldTach个人防火墙的关系。

我用Thinstall对软件作了一个快照（有驱动，因此想绿色化自然是不可能的），如果想研究的，可以去这里下载（怎么下载还是不用我说）。

http://www.mediafire.com/?sharekey=b88e2ce4ed1308ffd2db6fb9a8902bda

如果一个域名解析到以下八个IP之一 就证明有人害怕它的存在

211.94.66.147
209.145.54.50
203.161.230.171
64.33.88.161
202.181.7.85
4.36.66.178
216.234.179.13
202.106.1.2

所谓第0层 不过就是监听任何UDP53端口的包 发现blacklist的域名 立即截断并把含假IP的新包发过去

不需要我做更多的解释 知道DNS是UDP协议 然后知道DNS poisoning的人 当然就明白

果然这几天气氛特别不对，Live Spaces，Twitter，Flickr都。。

2009年6月2日，18时50分。

今天离某个“戈培尔说话没用，坦克来说话了”纪念日很近。要不，今天真是暗流涌动，令某些与人民为敌的人胆颤心惊！

因此，他们又开始疯狂发泄压力了。

C:\Documents and Settings\yksoft1.YKSOFT-PC>tracert www.twitter.com

Tracing route to www.twitter.com [216.234.179.13]

over a maximum of 30 hops:

1 * * * Request timed out.

2 154 ms 84 ms 117 ms 222.247.29.45

3 67 ms 88 ms 58 ms 61.187.255.221

4 68 ms 112 ms 67 ms 61.137.2.173

5 89 ms 102 ms 70 ms 202.97.40.161

6 227 ms 97 ms 100 ms 202.97.35.57

7 108 ms 116 ms 90 ms 202.97.48.22

8 * * * Request timed out.

9 * * * Request timed out.

10 * * * Request timed out.

11 * * * Request timed out.

12 * * * Request timed out.

13 * * * Request timed out.

14 * * * Request timed out.

15 * * ^C

C:\Documents and Settings\yksoft1.YKSOFT-PC>tracert www.flickr.com

Tracing route to www.flickr.com [202.106.1.2]

over a maximum of 30 hops:

1 * * * Request timed out.

2 65 ms 74 ms 78 ms 222.247.29.45

3 76 ms 59 ms 186 ms 61.187.255.221

4 70 ms 87 ms 60 ms 61.137.0.229

5 93 ms 82 ms 69 ms 202.97.40.241

6 141 ms 90 ms 96 ms 202.97.36.102

7 214 ms 306 ms 311 ms 202.97.15.30

8 275 ms 154 ms 452 ms 219.158.5.17

9 * * * Request timed out.

10 * * * Request timed out.

11 * * * Request timed out.

12 * * * Request timed out.

13 * * * Request timed out.

14 * * * Request timed out.

15 * * * Request timed out.

16 * * * Request timed out.

17 * * * Request timed out.

18 * * * Request timed out.

C:\Documents and Settings\yksoft1.YKSOFT-PC>tracert spaces.live.com

Tracing route to spaces.live.com [65.55.103.55]

over a maximum of 30 hops:

1 * * * Request timed out.

2 82 ms 58 ms 78 ms 222.247.29.89

3 88 ms 62 ms 79 ms 61.187.255.229

4 87 ms 62 ms 127 ms 61.137.2.173

5 76 ms 68 ms 69 ms 202.97.40.45

6 202.97.33.110 reports: Destination host unreachable.

Trace complete.

请google：http://www.google.com/search?hl=en&q=.twitter.com&aq=f&oq=&aqi=g1

http://www.google.com/search?hl=en&q=.flickr.com&btnG=Google+Search&aq=f&oq=&aqi=g6

http://www.google.com/search?hl=en&q=spaces.live.com&aq=f&oq=&aqi=n1g8

看到了什么了？不过目前google的服务和wikipedia还是正常的，MSNMessenger和AIM仍然正常。

C:\Documents and Settings\yksoft1.YKSOFT-PC>tracert yksoft1.spaces.live.com

Tracing route to yksoft1.spaces.live.com [216.234.179.13]

over a maximum of 30 hops:

1 * * * Request timed out.

2 58 ms 93 ms 71 ms 222.247.29.45

3 66 ms 67 ms 70 ms 61.187.255.221

4 63 ms 70 ms 77 ms 61.137.2.173

5 87 ms 113 ms 68 ms 202.97.40.161

6 84 ms 85 ms 112 ms 202.97.35.57

7 109 ms 110 ms 102 ms 202.97.48.22

8 * * * Request timed out.

9 * * * Request timed out.

10 * * * Request timed out.

11 * * * Request timed out.

12 * * * Request timed out.

13 * * * Request timed out.

14 * * * Request timed out.

15 * * * Request timed out.

16 * * * Request timed out.

17 * * * Request timed out.

18 ^C

很可惜，本blog也处于这个状态。不过，IT界永远都是道高一尺，魔高一丈，防君子不防小人。

Update 19:20：最新消息，Windows Live其他服务如Hotmail也“被陷入”了这个状态，包括最新那个什么Bing搜索引擎。看来，那些人的气焰嚣张到了什么程度，已经非常明显了。

Update 6.3.2009 09:19：spaces.live.com这个域名请求和twitter.com、flickr.com一样，还是会被随机DNS劫持到几个错误的IP。看来这次应该是使用第0层、第一层和第二层，是最大化的封禁形式之一。通过tor解析的正确IP，同样会被挡在主干路由器上。

Update 6.3.2009 10:11：login.live.com、skydrive.live.com等很多服务又能用了。hotmail也是。bing能连接，但仍被第二层。M$中国的公关实力不错。但问题在于spaces。

Update 6.8.2009 16:26：Flickr、Twitter和spaces.live.com基本恢复可用状态，全面过滤解除。