开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

精易论坛»论坛 站务管理区 『建议|疑问|投诉|举报』 这并不是一个正常DLL安装驱动后通讯的行为 ...
123下一页
返回列表 发新帖
查看: 11582|回复: 33
打印 上一主题 下一主题
收起左侧

[已答复] 这并不是一个正常DLL安装驱动后通讯的行为

[复制链接]
凌哥
结帖率:83% (39/47)
跳转到指定楼层
楼主
发表于 2022-4-14 16:49:28 | 只看该作者 |只看大图 回帖奖励 |正序浏览 |阅读模式   福建省宁德市
本帖最后由 凌哥 于 2022-4-14 16:52 编辑


帖子地址:https://125.confly.eu.org/thread-14725575-1-1.html

因群友跟我说论坛有人发了个驱动键鼠,《NVIDIA官方驱动键鼠》着实有些离谱

从来没听说过nv有这种驱动,怕有后门所以让我看看,就丢沙箱了


结果如标题所说,这并不是一个正常DLL安装驱动后通讯的行为


对系统进行了大量的敏感操作,并且刻意检测自身是否在沙箱中运行

沙箱1:http://b8e.cn/My7D1
沙箱2:http://b8e.cn/rZBQJ

上传到沙箱检测的文件: 1.zip (3.72 MB, 下载次数: 16)

提取到释放的文件: 释放的nvhda64v.com.zip (654.28 KB, 下载次数: 20)


数字签名状态:


应该是最近所谓“黑客”泄漏的NVIDIA签名

同时还有一些疑点:为何楼主只上传腾讯哈勃的地址,看他截图上有微步云沙箱的页面了,但是避重就轻截取了一小块内容,是何意?

释放多个pe文件块是为了逃避杀毒软件扫特征吗?
驱动级远控后门并不少见,且行且珍惜









点评

Dakk
我觉得 论坛只要是有封装dll的 应该一律发布在成品区,禁止在开源区发布!   浙江省嘉兴市  发表于 2022-4-16 11:24
凌哥
是的,我这个只是猜测,并不是石锤,但留个心眼总是好的   福建省宁德市  发表于 2022-4-15 16:08
maozaiba
光看这些行为分析其实无法证实有后门   福建省泉州市  发表于 2022-4-15 15:55
机器兔
据说在本论坛防毒,精易相关部门真会报警的,且行且珍惜;   辽宁省锦州市  发表于 2022-4-15 15:04
影子需要光
客观一点说,你发的这些只是猜测,算不上实锤。我建议你先自己在虚拟机测试一遍分析出恶意行为再发帖。另外,我与那个贴主不认识。   湖北省武汉市  发表于 2022-4-15 11:27

评分

参与人数 8好评 +6 精币 +13 收起 理由
szweb01 + 1 你除了会复制粘贴,你还会什么?哦,对了,还会装B,半桶水一个.
haotianqi + 1 + 2 新技能已get√
857306450 + 1 装逼失败?没能力分析别人的驱动?花点钱呢?
启梦 + 1 + 3 此处应该有鼓励~
wtflxk + 1 + 1 既然是源码分享,发现有未知的EXE或DLL并非纯源码举报也无可厚非吧!.
a1094426901 + 1 + 2 不明真相的吃瓜群众路过~围观
icyjin + 1 + 1 此处应该有鼓励~
猪滴寳貝哝 + 1 + 2 不错,可以将此账号永久性封禁了

查看全部评分

回复

使用道具 举报

szweb01
头像被屏蔽
结帖率:73% (35/48)
25
发表于 2022-5-20 21:40:09 | 只看该作者   广东省东莞市
凌哥 发表于 2022-5-20 21:31
躲在角落开小号偶尔出来蹦跶一下的可怜虫

我的大号怕吓死你,你不是牛逼吗,查查我论坛的大号吧
回复 支持 反对

使用道具 举报

凌哥
结帖率:83% (39/47)

签到天数: 10 天
24
 楼主| 发表于 2022-5-20 21:31:32 | 只看该作者   福建省宁德市
szweb01 发表于 2022-5-20 21:11

躲在角落开小号偶尔出来蹦跶一下的可怜虫
回复 支持 反对

使用道具 举报

szweb01
头像被屏蔽
结帖率:73% (35/48)
23
发表于 2022-5-20 21:14:41 | 只看该作者   广东省东莞市
冷眸藐视 发表于 2022-4-15 09:39
可以保证无后门,有后门直接把我这个zc时间2016-9-4的老号封了吧。
部分证书逃避游戏检测行为,技术问题 ...

不要和这个半桶水,复制粘贴,装逼大神一般见识,他以为他写了个什么 垃圾模块就天下无敌了,有多少代码是自己的,这人我很早就看不惯了
回复 支持 反对

使用道具 举报

szweb01
头像被屏蔽
结帖率:73% (35/48)
22
发表于 2022-5-20 21:11:27 | 只看该作者   广东省东莞市
凌哥 发表于 2022-5-19 00:56
你可真够可怜的


回复 支持 反对

使用道具 举报

凌哥
结帖率:83% (39/47)

签到天数: 10 天
21
 楼主| 发表于 2022-5-19 00:56:06 | 只看该作者   福建省宁德市
szweb01 发表于 2022-5-18 22:36
这个喜欢写复制粘贴模块的二流高手又来装大神了

你可真够可怜的
回复 支持 反对

使用道具 举报

szweb01
头像被屏蔽
结帖率:73% (35/48)
20
发表于 2022-5-18 22:36:57 | 只看该作者   广东省东莞市
这个喜欢写复制粘贴模块的二流高手又来装大神了
回复 支持 反对

使用道具 举报

雁子
结帖率:100% (1/1)

签到天数: 1 天
19
发表于 2022-4-23 11:10:45 | 只看该作者   广东省广州市
楼主提出质疑的出发点是好的,但没有实际证据证明该文件存在木马后门等行为,同时,作者也没对一些敏感API及行为做出回应,帖子虽然发在源码区但并非开源帖。

根据以上情况,被举报帖的屏蔽状态不予解除,但账号不会禁言,本帖保留备查。
回复 支持 反对

使用道具 举报

♂隐
结帖率:100% (8/8)

签到天数: 7 天
18
发表于 2022-4-19 09:33:54 | 只看该作者   湖南省益阳市
大佬在高空打架啊。
回复 支持 反对

使用道具 举报

天雷
结帖率:100% (5/5)

签到天数: 1 天
17
发表于 2022-4-16 22:24:01 | 只看该作者   山东省临沂市
不如转火绒论坛一波分析一下
回复 支持 反对

使用道具 举报

123下一页
返回列表 发新帖
  高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 793400750,邮箱:[email protected]
网站简介:精易论坛成立于2009年,是一个程序设计学习交流技术论坛,隶属于揭阳市揭东区精易科技有限公司所有。
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表