vrdongli软件下载小燕子玩过的御花园长啥样？故宫发布VR《御花园》

用户投稿 2025年08月22日 07:52:01 13 0

小燕子玩过的御花园长啥样？故宫发布VR《御花园》

新京报快讯（记者倪伟）故宫博物院今天（12月19日）发布VR（虚拟现实）节目《御花园》，并开启面向社会公众的“观影周”活动。观众可在线预约，在故宫观看影片，重回历史中的御花园。

观众在体验多媒体互动产品“V故宫”。摄影/新京报记者浦峰

《御花园》是故宫发布的第七部大型虚拟现实作品，聚焦紫禁城里的皇家花园——御花园，利用三维特效真实呈现了御花园的全貌，结合史料研究创造性地还原了这里曾经的植物、动物、假山、建筑构成的生态系统，在虚拟现实的世界里再现了一个生机蓬勃的皇家园林。

《御花园》VR节目首次应用行业内领先的三维引擎实时渲染光影，展现御花园在一天中的不同风采。在虚拟的世界里，御花园中曾经饲养的小鹿、游鱼和曾种植过的海棠树等动植物被复原。作品首次引入现场大屏与小屏协同互动的观看方式，为观众揭示更丰富的隐藏知识。

观众在体验多媒体互动产品“V故宫”。摄影/新京报记者浦峰

早在2000年，故宫博物院即开始了在虚拟现实领域的研究探索，已先后制作了《紫禁城·天子的宫殿》《三大殿》《养心殿》《倦勤斋》《灵沼轩》《角楼》共6部基于剧场环境的虚拟现实节目。

12月20日至26日（周一闭馆日除外）期间，故宫博物院将开展《御花园》VR节目“观影周”活动。受场地限制，每场限50人，每天4场。观众可以通过“活动行”预约（链接：http://www.huodongxing.com/event/6470541311200），走进故宫里的虚拟现实演播厅，观看《御花园》。

观众在体验多媒体互动产品“V故宫”。摄影/新京报记者浦峰

本次观影活动免费，提前三天开始预约，预约成功的观众需自行购买故宫门票入院，提前到达活动地点。

今天，故宫博物院与中国惠普有限公司签署合作协议，正式启动在全国范围内的“V故宫”巡展计划。巡展将从2019年5月起，借助中国惠普、英特尔和HTC提供的VR硬件设备解决方案，将“紫禁城·天子的宫殿”系列VR作品在内的故宫数字化成果向全国公众展出。

新京报记者倪伟摄影记者浦峰

见习编辑侯佳欣校对郭利琴

谨慎辨别高仿APP——伪装主流软件投毒样本横向分析

近期，火绒工程师在日常关注安全动态时发现，以仿冒软件的方式传播病毒 依旧是一个常见的手段。被仿冒的软件包含各大主流软件，包括 WPS、搜狗浏览器、Chrome 浏览器等。这些仿冒软件中被封装了不同的恶意程序，其中病毒的后门种类主要集中在 Gh0st 家族系列和银狐后门 WinOS。某些样本还会通过特殊注入手段将恶意代码注入系统，或利用易受攻击的驱动关闭安全软件的进程，从而逃过安全软件的监测。目前，火绒安全产品可对上述木马进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

一、搜索结果里的“陷阱”

在日常下载软件时，通过搜索引擎直接搜索“XX软件下载”是较为常用的方法。而在搜索结果里，往往会存在这么一条排名靠前、带有“官方”“保障”“广告”等字样的链接。如果你认为这是可靠的正规下载渠道，点击并下载安装了里面的软件，那我们就要遗憾的告诉你：“很不幸，你大概率是中了病毒作者的奸计。”因为这些链接实际上很可能是病毒作者伪造的软件下载网站。

这类网站或通过SEO优化手段提高排名，或利用搜索引擎竞价排名的方式将恶意链接置于搜索结果前列，进一步诱导用户点击下载安装，最终导致计算机被病毒作者任意控制。

通过SEO优化提高排名的结果

通过搜索引擎竞价提高排名的结果

部分仿冒软件的域名和下载链接截图

通过上图可以看出，病毒作者为了骗过用户花了不少心思。他们精心设计出与官方正规网站极为相似的域名和网站内容，并模仿原安装包的图标和名称。在安装过程中，仿冒软件甚至会先释放正版安装包来安装软件，让受害者误以为自己安装的是正版软件，而不是木马病毒。尽管部分用户在前期可能会通过域名和下载链接看出一些端倪，但这些细微的异常是很容易被忽略的。

因为各类仿冒软件屡禁不止，所以选择可信渠道下载软件至关重要。除了通过官方网站下载软件之外，「火绒应用商店」（指路：https://huorong.cn/appstore） 也致力于能够成为大家安全下载的得力助手。

火绒应用商店以独立版形式推出，依旧秉持着实用、简洁、高效的设计理念，为用户打造纯净的使用体验。它不仅具备丰富的正版软件资源，同时还支持软件在线升级与卸载，让程序管理更便捷。如果在使用上有任何疑问或建议，也欢迎大家随时向我们反馈，我们将持续优化功能与服务！

二、样本分析

以下为此次分析的样本简介表。

样本简介表

样本采用的技术手段

以下为此次分析的仿冒软件样本采用的技术手段：

1.制作安装包

使用 MSI（Microsoft Installer Package）、Inno（Inno Setup）、NSIS（Nullsoft Scriptable Install System）、WinRAR 等工具，从而实现执行原安装包和恶意程序的目的。

2.数字签名

夺取、窃取其他软件的无效数字签名、利用低信用度签名机构颁发的正式数字签名。

3.免杀手段

利用 PowerShell 将样本加入白名单、利用 no-defender 接管 Windows Defender、使用特殊的注入手段、利用易受攻击的驱动终止安全软件进程。

接管 Windows Defender： no-defender 是安全研究员 es3n1n 在 github 上分享的一个开源项目。该项目通过分析 Avast 杀毒软件中与 Windows 安全中心通信的 wsc.dll 文件，并利用 Hook 修改该文件的运行逻辑，实现对 Windows Defender 的接管。

no-defender 执行效果图

特殊的注入手段： 利用开源项目 PoolParty 的第 7 号注入方式，针对 explorer.exe 进程构造并注入一个伪造的 TP_DIRECT 线程池任务。该任务通过 ZwSetIoCompletion 被投递至 IO 完成端口，使目标线程池线程执行植入的 Shellcode，从而实现高度隐蔽的代码执行。

PoolParty 开源项目

将数据包投递至 IO 完成端口

数据包结构体以及其中内容

终止杀软： 样本利用易受攻击的驱动，通过 DeviceIoControl 函数向驱动发送 0x80002048 控制码，以此终止安全软件进程。

终止杀软

仿冒 WPS 类样本

W0PS-v12.3 win.exe

流程图

判断 Windows Defender 是否存在并添加白名单： Setup Factory 安装包使用 Lua 脚本执行安装操作时，会先判断 Windows Defender 是否存在。若存在，则将相关程序添加白名单。但实测时发现，在分析环境中，该条指令因转义问题会发生错误并未生效。

添加白名单

判断 360 窗口是否存在并关闭 360 窗口： 样本先判断 360 窗口是否存在。若存在，则尝试利用 Setup Factory 自带的函数 Window.Close 以及 PostMessageA ，传递 16 WM_CLOSE、18 WM_QUIT、2 WM_DESTROY 等参数，关闭 360 窗口并终止程序。但实测时发现该指令并未生效。

关闭 360 窗口

执行原安装包和恶意代码： 样本首先执行白文件 iusb3mon.exe 以加载黑文件 EduWebContainer.dll，随后执行原安装包 WPS_Setup_20784.exe。

执行两个程序

读取文件并解密执行恶意代码： EduWebContainer.dll 会读取 ziliao.jpg ，通过异或解密出其中的恶意代码并执行。

解密 ziliao.jpg 并执行

手动加载 Gh0st 后门模块： 恶意代码会手动加载后门模块并调用入口点，从而实现 Gh0st 后门功能。以下是 DLL 入口点调用的 shellex 函数。

shellex 函数

ws_wips_xs64.msi

流程图

解压执行白文件，加载黑 DLL： MSI 数据库中的 CustomAction 表中显示将会执行 FKTrump.dll 动态库 utools 函数，该函数中会组合 catch_x 生成 zip。随后，解压该压缩文件并执行其中 EXE 文件，即 YouSecurity.exe，最终加载黑文件 steam_api64.dll。

解压 cross.dat

读取 static.ini 文件并执行恶意代码： 首先，该 steam_api64.dll 读取 static.ini 文件，随后执行恶意代码。其中，该DLL文件利用 PoolParty 项目的第 7 号注入方式将恶意代码注入至 explorer.exe。

读取 static.ini 并执行 ShellCode

获取 view.res 文件中恶意代码，随后注入执行： 之后，再次手动加载。此阶段会读取 MyData 注册表数据（该数据由 view.res 文件中获取），从中获取 ShellCode。随后，创建傀儡进程 exploere.exe 再次实现代码注入。其中， Ven_sign 是特征码，为了防止重复运行，样本会遍历所有进程识别是否存在 Ven_sign 这段字符串，如果存在则会结束进程。

创建傀儡进程并注入

加载 WinOS 后门： 随后，再次手动加载 WinOS 后门。以下是入口点，远程服务器为 202.79.174.175。

入口点

仿冒搜狗浏览器样本

sgiipExp02.34.msi

流程图

执行 VBS 脚本，解压后执行原安装包和恶意程序： 该恶意程序是一个 MSI 安装包，利用 Orca.exe 可以解析此安装包。其中包含一个 CustomAction 表，在 CustomAction 表中，程序会启动 Binary 中的 nchsComprehendDetailEnsure，该 nchsComprehendDetailEnsure 是 VBS 脚本。该脚本利用 ZPQA 解压出恶意程序 2_SoQIjtooKcWN.exe，最后启动 2_SoQIjtooKcWN.exe 和原安装包。

解压过程中使用的的指令如下（-key 后附解压密码）：

zpaq.exe x "xFVlqkkHxAwRrgV." -key ";=;06XzrguoIXpDoulDs"zpaq.exe x "LqajkoDVsyEYukY." -key ")@_70sHtWCQEFnoXMceN"

Binary 和提取代码

以下是执行原安装包和恶意程序的 VBS 代码。

执行恶意程序与原安装包

检查路径并异或解密后门模块并加载： 此恶意程序使用 Go 语言编写。其会检查程序路径的第三个字符是否为 P 或 W，以此判断环境是否正常。若环境正常，则会进一步对后门模块进行异或解密，加载并调用代码。

检查路径、异或算法、调用后门模块加载函数

动态获取函数地址： 后门加载函数使用 C 语言编写。通过利用 PEB 定位 kernel32.dll 的基址，进而获取各种 API 函数地址。之后，解压出后门模块，并手动加载该后门模块。

手动加载

创建命名管道和检查安全软件： 随后，样本会动态获取相关函数和字符串，创建一个名为 vHHHJgkERT22HS3tAghfNBC 的命名管道，并检查 360、 Windows Defender、腾讯管家等进程。

创建命名管道、检查进程

下载注入执行 HiddenGh0st 后门： 随后，发送一个 GET 请求，通过 http://1235saddfs.icu/kk1/95.173.197.195/code32 下载带有 Hidden 模块的 Gh0st 后门（某些厂商称其为 HiddenGh0st）。如果有杀毒软件和计划任务，直接分配内存并调用；如果没有，则会创建 svchost.exe 进程后，将后门注入其中。

下载后门并调用或注入调用

下载并异或解密

仿冒搜狗输入法类样本

sogou_gaunwang_v_15.4.exe

流程图

检测网络： 样本首先会尝试连接 http://wan.baidu.com/lobby 和 http://news.163.com，测试网络是否连接。只有在网络连接成功的情况下，才会继续执行后续步骤。

检测安全软件进程： 利用 WMI 命令行检查 ZhuDongFangYu.exe 进程和 kxescore.exe 是否存在。

检查进程是否存在

解压出文件： 随后，创建并利用 kMvkWqdDGSdHXof.exe（7zip）和密码 26]04VtFPjzpEnsureAgentSwift 对 EnableNetworkFearless文件进行解压。解压出 OrganizeVendorMotivated 后，再次利用 kMvkWqdDGSdHXof.exe 以及密码 2:$27STVYfkQRevitalizeSpecialistTrusty 对此文件进行解压，解压出以下文件。其中， wsc_proxy.exe、wsc.dll、powrprof.dll 是用于接管 Windows Defender 的关键文件。

解压出的文件

执行原安装包和恶意程序： 随后，执行 sogou_pinyin.exe 原安装包和 GatewayLuminous.exe 恶意程序。其中， GatewayLuminous.exe 是用 Go 语言编写的，其功能与上一个样本中的 2_SoQIjtooKcWN.exe 一致。

下载后门： 通过命名管道 \\\\.\\pipe\\WBGFSSSg2NVDSSSg3Sgc3Ad6NDG，从链接 http://fd56f4d6fd.icu/ww1/154.201.82.93/code 下载后门程序。在分析时，该链接已无法访问，但根据样本特征推测，该样本的后门程序可能与上一个样本一致，也是 HiddenGh0st 后门。

sogou_pinyin--utt_13.12.exe

流程图

读取解密 pRnR.PjN 并加载 Gh0st 后门： 该样本是一个 Inno 安装包。此样本会释放安装原安装包 sogou_pinyin_zhihui.exe 进行伪装。其恶意模块由白文件+黑 DLL+被加密文件组成，其中，黑 DLL 负责读取并解密 pRnR.PjN ，之后通过调用 RtlDecompressBuffer 进行解压并进行手动加载，最后加载 Gh0st 后门，并利用开源项目 HP-Socket 进行通信。

以下是通过 GetProcess 动态获取到的函数地址的代码。

动态获取函数地址

手动加载后调用入口点

sogou_pinyin_guanwang15.3.exe

流程图

执行原安装包与恶意程序： 该样本利用 WinRar 打包成 EXE 文件。在执行时，会同时执行 sogou_pinyin_guanwang15.3.exe 和 svchost.exe 两个程序。其中的 svchost.exe 就是恶意程序。

WinRar 打包成 EXE 文件

利用异或解密算法进行解密，随后手动加载并调用入口点。

异或解密算法

手动加载并调用入口点

调用导出函数 Shellex： 之后，通过导出表获取导出函数 Shellex，并调用函数 Shellex，即 Gh0st 后门。在此过程中，可以看到传入参数 sgkong2.top，该域名为后门服务器域名。

获取并调用函数 Shellex

搜狗输入法.msi

该样本具有 Cockos Incorporated 数字签名（有效）。因此，即时是带有有效数字签名的软件，也可能存在安全风险，所以用户仍需保持警惕。

流程图

下载或通过注册表获取 WinOS 后门： 该样本加载后，调用导出函数 Fuck 。该函数会创建一个线程，用于从远程服务器 AG532.l5222.com 下载 WinOS 后门，或者通过读取注册表的方式获取后门，获取到后门数据后，样本会对其进行解密调用。

读取注册表并调用

下载后门

soGou-Pin_guanwang_14.11a.exe

样本 soGou-Pin_guanwang_14.11a.exe 是一个 Inno 安装包，该样本会释放执行原安装包 dnEY_160.exe 和恶意程序 eQ3C.exe。以下是其释放的文件和脚本。

释放的文件和脚本 1

调用导出函数： 其中， eQ3C.exe 也是一个 inno 安装包。它会释放文件 ws2_32_frZh4V.p12，并利用 regsvr32.exe 和 rundll32.exe 分别调用导出函数 DllRegisterServer 和 netsvcs。

释放的文件和脚本 2

导出函数 DllRegisterServer 会检查是否存在以下安全软件：

360Tray.exeZhuDongFangYu.exe360tray.exe360Safe.exeMsMpEng.exeNisSrv.exeMpCmdRun.exeHipsMain.exeHipsTray.exe

执行对抗杀软函数： 若检测到上述安全软件，则会执行名为 execute_vaccine 的函数，用于对抗安全软件。该函数利用易受攻击的驱动，通过传入对应的控制码来终止杀软。随后，样本会下载 WinOS 后门。

检查杀软与终止杀软

仿冒 DeepSeek 本地部署工具样本

DeepSeekV1.0.1.6.exe

该样本为仿冒的 DeepSeek 客户端，具有特殊的伪装技巧：将自身伪装成一个流氓版本的 DeepSeek，从而降低使用者的警惕——使用者容易误认为下载到的只是一个普通的流氓软件，难以察觉其暗藏病毒。实际上，该病毒作者利用“流氓软件+木马”的捆绑手法，使木马程序能够在用户毫无察觉的情况下悄然运行。

流程图

流氓程序付款界面

该病毒与往期文章《“易语言定制”助力黑产，溯源开发者多平台账号》中病毒的执行流程一致，可以判断其为同源病毒。

后门分析

此次分析中发现，病毒使用到的后门种类有 Gh0st 和 WinOS 两类。

其中， Gh0st 后门由于存在源代码公开的情况，所以经过病毒作者的修改，出现了多种变种；而 WinOS 则是银狐木马经常使用到的后门之一。

后门分类

Gh0st后门

在本次分析中发现的 Gh0st 后门中，一种是使用 HP-socket 进行通信的；另一种是利用 Hidden 开源项目来隐藏文件或注册表等。

这些后门的入口点有两种：前一种利用开关创建不同任务线程，例如隐藏窗口、获取按键信息等；后一种会先初始化数据，然后动态获取函数地址。

入口点

以下是 Gh0st 后门中经典的获取剪切板函数。

发送剪切板数据

以下是某个 Gh0st 后门使用到的 Hidden 技术。

JKornev hidden 项目中字符串

以下是某个 Gh0st 后门使用到的 HP-Socket 通信。

HP-Socket

WinOS 后门

以下是 WinOS 后门入口点代码截图。

入口点

后门功能：

插件加载：支持内存加载与进程注入。屏幕捕获：获取目标系统的屏幕信息。文件操作：文件上传与下载执行。监控与控制：记录备注信息、分组信息，检测并过滤进程，监控屏幕状态。系统管理：清除系统日志、重启系统、结束进程、修改系统配置。其他功能：开启剪贴板监控、发送心跳包。

具体后门功能可以看往期文章《钓鱼网页散播银狐木马，远控后门威胁终端安全》（https://huorong.cn/document/tech/vir_report/1790#:~:text=%E4%B8%89%E9%98%B6%E6%AE%B5%EF%BC%9A%E5%90%8E%E9%97%A8,0xc9%20%E5%BF%83%E8%B7%B3%E5%8C%85%E3%80%82）中“三阶段：后门功能”中的内容。

以下是一些关于银狐病毒的防范与处理建议，供大家参考。如有问题，请随时联系我们协助解决。