我做了个小验证：关于kaiyun的假安装包套路，我把关键证据整理出来了

作者：V5IfhMOK8g 时间：2026-04-23 浏览：66

前言我对网上流传的一个名为“kaiyun”的安装包做了一个小规模、本地化的验证，把关键证据和复现步骤整理如下。本文旨在记录我在受控环境（虚拟机）内的观察结果，帮助有相同疑虑的人快速判断、复查与防护。文章只说明我个人的测试发现，不做超出观察范围的断言，请根据自己的情况进一步核实。

测试环境与原则

测试环境：Windows 10 虚拟机（快照/无个人数据），联网可控。
工具：Hash 校验（certutil）、Process Monitor、Process Explorer、Wireshark、strings、7-Zip、VirusTotal、在线域名/IP 查询和沙箱（Cuckoo 等）。
原则：不在真实主机直接运行未知安装包；所有操作均在快照环境完成，操作前后记录网络与进程行为。

样本信息（我的测试样本）

关键观察与证据（我在虚拟机里的实际记录） 1) 文件结构与资源隐藏

用 7-Zip/PE 工具查看可执行文件时，发现文件包含额外资源（以数据段形式打包的压缩档/脚本），并非单一安装器常见的清晰目录结构。
使用 strings 工具提取到大量可疑字符串：若干远程域名、base64 编码片段、以及看起来是二次下载/执行命令的片段（如 powershell 命令或 curl/wget 调用）。

2) 数字签名与元数据

3) 运行行为（进程与文件系统）

在受控执行时，主进程会解包并在临时目录创建多个随机命名的子目录与文件，并尝试启动子进程执行这些文件。
创建了计划任务 / 注册表启动项或复制自身到用户目录下的持久化行为（具体位置如 %AppData%[随机名]）。我在快照中记录了被创建的注册表键与任务名称，可用于比对与清理。

4) 网络行为（关键证据）

程序在运行后尝试连接外部域名与若干 IP（我的抓包记录列出了这些域名与 IP），并且部分连接使用了明文 HTTP 请求，传输中包含环境信息（操作系统版本、用户名、机器标识符等）。
部分远端地址与已知的可疑托管/动态域名服务有重合（通过在线域名/IP 查询工具比对得出），这表明安装器在运行时会向远端拉取更多组件或配置。

5) 后续执行与二次下载

6) 杀毒引擎与在线沙箱结果

我将样本上传至 VirusTotal 与一个沙箱服务进行检测。部分引擎对该样本存在检测命中（提示为可能的广告软件 / 不良安装器 / 可疑行为），沙箱回报了疑似网络外联与持久化行为。结果并非全部引擎一致，属于混合判定，但与我本地观察相符。

如何自己快速复查（可复现步骤）

我建议的务实应对（如果你遇到类似安装包）