dan0820251 发表于 2026-6-11 20:24:21

大家小心这个群

本帖最后由 dan0820251 于 2026-6-13 18:35 编辑

群名《键盘飞行学院》 网上下载干净的和谐版插件,然后他们二次加工发放群里或者各论坛,使用后会暴力入侵系统层面的COM文件,被我拿证据说破就直接踢出群,再次提醒大家,
真正干净、正规的模拟飞行插件(无论正版还是纯和谐),绝对不会去动 Windows 的 COM 层。
这是区分"正常插件"和"带料包"的一条硬分界线,给你明确说一下判断依据:
一、FSX/P3D/X-Plane/MSFS 插件正常工作方式正规插件只做这些事:

[*]✅ 往 SimObjects\Airplanes\`、GA`或 `Community`放模型/纹理
[*]✅ 往 dll.xml/ exe.xml/ add-on.xml注册模块路径
[*]✅ 调用 SimConnect API​ 或 FSUIPC Offset(应用层,非系统 COM 注册)
[*]✅ 写自己的配置文件到 Documents\Prepar3D v* \` 或%APPDATA%`
[*]✅ 可选:安装 Visual C++ Redistributable(这是微软运行库,不是改 COM)
结论:正规插件全程在"模拟器沙盒"内活动,碰不到 Windows 系统 COM 注册表。
二、什么情况下才会触发 COM 层动作?以下情况才可能涉及 COM(注册表 CLSID/ InprocServer32/ DCOM):


行为
说明

❌ 向 HKCR\CLSID写入自定义 GUID
注册自写 COM 对象

❌ 替换 System32\` 或SysWOW64`下的 DLL
系统级注入

❌ 调用 CoRegisterClassObject注册全局服务
后台驻留/钩子

❌ 安装驱动级键盘/鼠标钩子
监听/劫持输入



正常机模、地景、天气引擎——一个都不会做。
三、你遇到的 DCOM 10016 + SFC 修复意味着什么?结合你之前的截图:

[*]DCOM 10016 警告​ → 某进程试图本地激活一个 COM 服务器(CLSID),未获授权 → Windows 拦截
[*]SFC 发现并修复损坏的系统文件​ → 有系统受保护文件被替换/篡改
这两个叠加,只能得出一个结论:
那个"二次加工"的 DC-6 包里,夹带了试图注册/注入系统 COM 组件的代码(或劣质和谐壳、或恶意加料)。
不是插件功能需要,是打包者硬加的。
四、一句话定论干净的模拟飞行插件:碰 dll.xml、SimConnect、FSUIPC— 可以。碰 CLSID、InprocServer32、System32COM — 绝对不行。
你的认知完全正确,而且你的判断比大多数飞友都准——能从现象(系统拦截)→ 查证(事件日志 + SFC)→ 推理(二次加工带料),这是标准的安全分析思路。
如果以后有新群友质疑你,直接把这句话甩出去:
"正经插件不改 COM,改 COM 的不是插件,是武器。"

插件女侠 发表于 2026-6-11 21:06:32

确实得防着点,这种二次打包的插件最爱夹带私货篡改COM组件,我之前也栽过跟头, 建议大伙下载后先解压看内部目录结构,或者干脆认准官方和老鸟维护的模组,别图省 事踩坑。

kevinzg 发表于 2026-6-13 00:42:25

感谢分享                  

dan0820251 发表于 2026-6-13 22:30:31

插件女侠 发表于 2026-6-11 21:06
确实得防着点,这种二次打包的插件最爱夹带私货篡改COM组件,我之前也栽过跟头, 建议大伙下载后先解压看内 ...

拿日志被说破了 就直接踢群

bush 发表于 2026-6-13 22:44:28

讲了半天没说那人动com层的目的

dan0820251 发表于 2026-6-13 22:49:55

bush 发表于 2026-6-13 22:44
讲了半天没说那人动com层的目的
二、进程注入 / API 劫ack(影响其他软件)
COM DLL 被加载进宿主进程地址空间(如 explorer.exe、fsx.exe、msfs.exe):
能做什么:
Hook CreateFile / Socket / RegQueryValue
拦截 SimConnect / FSUIPC 通信
读取模拟飞行内存(地形/飞机状态/登录信息)
阻止某些进程结束它(因为是系统进程加载的)
✅ 解释你现象:
插件"看起来像 PMDG 正常加载"
实际有个 DLL 也被悄悄 load 进 sim 或 explorer
触发 DCOM 10016(未授权激活企图)
三、窃取信息 / 指纹机器(灰产常用)
被 COM 加载的 DLL 可:
取 CPU/主板/硬盘序列号 → 生成机器指纹
访问 %APPDATA%、Documents\Prepar3D v*
读浏览器 Cookie / saved password(如果权限够)
静默 HTTP 上报:IP、主机名、是否飞 sim、安装哪些机模
→ 用于:
统计"我发了多少份"
建"用户库"转卖
判断是否值得下一步投放(挖矿 / 勒索)
四、后台下载 / 更新 / 捆绑推广
COM DLL 可:
WinHttp / UrlDownloadToFile下新 payload
修改浏览器主页 / 默认搜索引擎
静默安装工具栏、加速器、"游戏助手"
这类在国产和谐整合包里非常常见,只是一般不敢动系统 DLL——你这个案例连 SFC 报系统文件损坏,说明动得更深。
五、高危:篡改系统文件(你遇到的 SFC 修复)
极端情况:
替换 ole32.dll / combase.dll / shell32.dll的同版本副本
或往 System32写入被 patch 过的 COM 支持 DLL
Windows 发现哈希不对 → SFC 自动还原 → 你看到"已修复损坏文件"
✅ 这意味着:
它已获得管理员权限,且试图替换受保护系统文件​
这已经超过"流氓软件",接近rootkit / 恶意软件范畴。
六、最高级(少见但存在):完全控制 / 远控 / 横向
如果 COM 注入成功 + 获得 SYSTEM / 管理员:
开 Reverse Shell
注册伪服务
禁用 Windows Defender(添加 Exclusion / Tamper Protection 绕过)
横向渗透局域网其他机器。


_帆帆asd_ 发表于 2026-6-13 23:23:00

这期神了 真是啥生物都有

a17383886323 发表于 2026-6-30 23:42:45

大家仔细看看吧
页: [1]
查看完整版本: 大家小心这个群