很多gal游戏,本身不提供中文,只能找汉化补丁。
汉化文件基本上分几种。资源文件替换,dll,exe文件修改。
资源文件替换类型的,文件基本上是文本文件或者封包的资源文件,危险性相对较低。
dll和exe,风险相对较高,也是误报的重灾区。
很多游戏,特别是很多小体量,不出名的gal,很多要靠爱好者自己发电来汉化。报毒也是经常性的。
当然正常情况误报占大部分,大部分汉化者都是靠着一腔热情,不图回报。黑客也不见的能看上这种补丁的一点用户。
但是如果条件可行,最好还是安装个虚拟机软件,把游戏放到虚拟机里。原因是最近在玩的一个游戏。
解压之后,汉化版exe文件报毒,本来想要放行,但出于谨慎还是放虚拟机里,顺手开了进程监视器来看看这个exe都做了什么。
正常游玩一个小时之后,查看记录,确实发现了一些可疑之处。
`
操作(每个目录均被所有命令进行操作):
FASTIO_NETWORK_QUERY_OPEN # 网络文件系统中查询文件打开情况
IRP_MJ_CREATE # 请求打开文件
FASTIO_QUERY_INFORMATION # 查询文件信息
IRP_MJ_DIRECTORY_CONTROL # 枚举符合条件的文件,获得其文件信息
被操作的目录:
C:\Users\vboxuser\Pictures # 图片文件夹
C:\Users\vboxuser\AppData\Local\Microsoft\Windows\history # 打开过的文件历史 和IE的浏览历史(用edge浏览器的兼容模式打开网页,历史记录也在这里)
C:\Users\vboxuser\AppData\Local\Microsoft\Windows\INetCookies # IE的cookies
C:\Users\vboxuser\AppData\Local\Microsoft\Windows\INETcache # IE的缓存
`
作为一个纯正的单机游戏,不提供任何和网页有关的服务。我无法理解它为什么要访问我的浏览器相关信息。这些目录基本上只有浏览器,杀软,清理工具,某些恶意程序(木马)才会访问。
目前为止。我没有发现它读取过这些目录的文件(虚拟机里尚未使用浏览器,这些目录暂时也不存在文件,进行枚举筛选时,不会获得任何信息),也未向互联网发送数据(可能的原因同上)。
但根据这些特征,基本可以判断这属于一个窃取个人信息的木马。窃取者可以获知对方浏览过的网站;通过cookie登录相关网站而无需密码。
各位也请小心,别不慎着了道。
(最后,这部分内容不知道发到哪里了,算不上科普,算个私人建议。干脆放聊天版了)
