V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
icedx
V2EX  ›  分享发现

在腾讯某款游戏的驱动里发现了奇怪的字符串 搜狗 360 金山 YY 百度 优酷的老铁都可以进来看下

  •  3
     
  •   icedx · 2018-01-29 08:18:50 +08:00 · 6606 次点击
    这是一个创建于 2489 天前的主题,其中的信息可能已经有所发展或是发生改变。
    .text:0000000000023B90 00000008 C .qq.com
    .text:0000000000023BA0 0000000B C .sogou.com
    .text:0000000000023BB0 00000008 C .360.cn
    .text:0000000000023BC0 0000000A C .duba.net
    .text:0000000000023BD0 00000008 C .yy.com
    .text:0000000000023BE0 0000000B C .hiido.com
    .text:0000000000023BF0 0000000D C .360safe.com
    .text:0000000000023C00 00000008 C .wps.cn
    .text:0000000000023C10 0000000B C .baidu.com
    .text:0000000000023C20 0000000C C .duowan.com
    .text:0000000000023C30 0000000B C .youku.com





    昨天上不去游戏 指望着官方解决问题基本不可能 今天(2018 年 1 月 29 日)闲着没事又上了一下游戏 然后检查了 2018 年 1 月 29 日 被修改的文件 发现了这个

    样本:

    https://mega.nz/#!ukBTzbRC!s7bWB81mFC9h7kxk3E4MXb-DXfi_0LLuCVsQWU6znek

    鹅肠不亏是大厂 驱动都用热更新的

    SEO: 腾讯 鹅厂 隐私
    33 条回复    2018-01-30 14:15:51 +08:00
    des
        1
    des  
       2018-01-29 08:33:43 +08:00 via Android
    话说不是叫 tessefa 的吗?不少蓝屏都是它的功劳。

    嗯,还有 q 盾,偷偷安装 qq 浏览器还是安全管家来着
    des
        2
    des  
       2018-01-29 08:35:18 +08:00 via Android
    @des 还有 lsp 劫持,不知道想干嘛
    icedx
        3
    icedx  
    OP
       2018-01-29 08:42:35 +08:00
    @des #1
    这个文件展开应该叫
    TenSafeMonitor

    鹅厂毕竟大厂 驱动这种踏空一步就是万丈深渊(蓝屏)的东西都用热更新
    TinySec
        4
    TinySec  
       2018-01-29 08:50:04 +08:00 via iPhone
    @icedx 特别想问一句,怎么判断出是驱动热更新的。😄
    xomix
        5
    xomix  
       2018-01-29 09:10:05 +08:00
    @TinySec 驱动文件修改时间是最近而不是你安装的时间…………
    icedx
        6
    icedx  
    OP
       2018-01-29 09:15:12 +08:00
    @TinySec #4 我在 ProcessMonitor 里看到文件释放的行为了
    lniwn
        7
    lniwn  
       2018-01-29 09:23:04 +08:00 via iPhone
    可能只是白名单而已
    linxy
        8
    linxy  
       2018-01-29 09:27:19 +08:00
    不愧大厂,做这种事用驱动做。基本上很难被监控到吧
    mcone
        9
    mcone  
       2018-01-29 09:32:32 +08:00
    卧槽 大新闻啊 cctv 看这里!
    TinySec
        10
    TinySec  
       2018-01-29 09:34:13 +08:00 via iPhone
    @icedx 这不叫驱动热更新。。。。
    TinySec
        11
    TinySec  
       2018-01-29 09:39:52 +08:00 via iPhone
    @icedx 释放之后,替换文件,要么下次重启加载,要么重启驱动。这都不叫热更新,只是常规的更新操作,因为在更新这个时间差里,驱动都是停止工作的。真正的热更新是,用内存加载,或者符号链接的方式,真正的不停服,才叫热更新。
    TinySec
        12
    TinySec  
       2018-01-29 09:41:55 +08:00 via iPhone   ❤️ 5
    v2 毕竟大部分程序员都是 web 程序员,这些常识当然不会有多少人知道。
    mikuazusa
        13
    mikuazusa  
       2018-01-29 09:44:45 +08:00
    这是监控白名单还是黑名单?
    binbex
        14
    binbex  
       2018-01-29 09:47:10 +08:00
    真实,看雪的都来 V2 了
    hsuan
        15
    hsuan  
       2018-01-29 09:47:51 +08:00 via Android
    百度优酷都有?这是想干啥?
    kokutou
        16
    kokutou  
       2018-01-29 10:06:24 +08:00 via Android
    白名单嘛。。。大惊小怪

    另外,这只叫更新,不叫热更新。
    yanhejihe
        17
    yanhejihe  
       2018-01-29 10:10:16 +08:00   ❤️ 2
    @TinySec 热更新是指更新不用提示用户,而是采用替换部分文件的更新行为。从安装软件(驱动也是个软件)的角度出发,这个定义有问题吗?
    icedx
        18
    icedx  
    OP
       2018-01-29 10:10:55 +08:00
    @TinySec #11
    要是要不停机的更新 这个做不到
    这个只是启动时的更新

    这个说法对不对取决于对热更新的定义了 这个就是另一个问题了
    icedx
        19
    icedx  
    OP
       2018-01-29 10:12:29 +08:00
    @binbex #14 在哪...
    mxalbert1996
        20
    mxalbert1996  
       2018-01-29 10:14:15 +08:00 via Android
    @yanhejihe 当然有问题。假如 Windows 在用户不知道的情况下自动下载安装了更新并重启,你觉得这是热更新吗?
    xomix
        21
    xomix  
       2018-01-29 10:22:45 +08:00
    @icedx 之前微软才出了个专利就是不重启更新核心组件的,我记不太清了。
    skadi
        22
    skadi  
       2018-01-29 10:38:30 +08:00
    bignews
    fangch
        23
    fangch  
       2018-01-29 10:43:28 +08:00
    我去,这是想干啥,围观
    TinySec
        24
    TinySec  
       2018-01-29 12:38:04 +08:00 via iPhone
    @icedx 驱动不停机更新,完全做得到,只是你不知道
    laoyur
        25
    laoyur  
       2018-01-29 12:58:24 +08:00   ❤️ 4
    咳咳,纠结驱动更新「热」还是「冷」,对题主的问题有影响吗
    bleaker
        26
    bleaker  
       2018-01-29 13:16:53 +08:00
    @TinySec 后端程序员才会这么定义热更新吧,客户端这边,没有通过显示的 installer 或者经用户的同意,直接后台修改二进制代码的行为绝对是热更新了。
    ctsed
        27
    ctsed  
       2018-01-29 13:23:42 +08:00 via Android
    @mxalbert1996 windows 都是有提示的,而且是可以设置是否开启自动更新,协议里面也有这部分的内容,你举的例子不成立
    choury
        28
    choury  
       2018-01-29 13:24:15 +08:00
    @bleaker #26 这只能叫自动更新,不能叫热更新
    ctsed
        29
    ctsed  
       2018-01-29 13:28:34 +08:00 via Android
    大家理解的广义的热更新一般用来指主要功能不用停止实现更新,不过纠结这个和主题什么关系。

    一个游戏能和 wps 360 yy 产生什么关系,还是写在驱动里的,之前火绒不是爆了 qq 进程利用病毒式技术静默安装自家产品的事?
    jadeity
        30
    jadeity  
       2018-01-29 14:14:02 +08:00   ❤️ 1
    所以谁给解释下这段代码究竟干了什么?
    sobigfish
        31
    sobigfish  
       2018-01-29 20:15:52 +08:00
    lz 也许可以顺便研究下为啥安了┗|` O ′|┛ WeGame Windows10 的 wsl (bash on windows)的 端口就全挂了
    icedx
        32
    icedx  
    OP
       2018-01-29 21:57:16 +08:00
    @sobigfish #31 你扫一下我的支付宝红包码我就告诉你
    icedx
        33
    icedx  
    OP
       2018-01-30 14:15:51 +08:00
    好多收藏
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   941 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 21:18 · PVG 05:18 · LAX 13:18 · JFK 16:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.