奇怪的KMS dll

mmxsee

一直在用Shadow Defender
昨天重启后发现svchost的占用cpu过高。
用Process Explorer调查结果是某个svchost加载了vkms.dll 且连网到45.78.28.232
这DLL文件藏在c:\Program Files\Common Files\System\ado\
共有两个。上传到virustotal 只有几个杀毒查找的

以前有运行过HEU KMS Activator 不知道是不是这软件释放出来的。現在是用kmspico

样本地址(下载后 将JPG改为RAR)
[mw_shl_code=css,true]ww4.sinaimg.cn/large/a15b4afegy1fgzj6hyg4cj205g02cu10.jpg[/mw_shl_code]

275751198

文件信息
文件名称：D:\下载文件存储文件夹\123\新建文件夹\新建文件夹 (3)\a15b4afegy1fgzj6hyg4cj205g02cu10\123\vkms.dll
文件大小：
1.76 M
内部名称：
vkms.dll
文件签名：
无文件签名信息
文件描述：
经鉴定是一个高风险文件
文件MD5：
f2135b7abb9251f419a8a47211fdfaa4

另一个云鉴定转人工


结论不是啥好东西

WinstonChou

kms是windows激活工具，而vkms.dll是软件里一个自动激活的组件，windows激活工具激活（Win7可永久激活，win8、8.1、10都只能激活180天）之后会在此目录下生成vkms.dll的自动激活组件，过了180天这个组件自动运行重新激活，可以保证系统是激活状态，因为会修改系统信息，所以它们默认报毒，懂了吗？其实没有毒的。

leew1229

楼上错了，因为是kMS激活，大客户激活，所以存在kms服务器。
当然了，有服务器就有客户端，所以很明显，高风险文件罢了。
使用kms激活的弊端就是可以被服务器控制和进行操作，就是留了个路，开了个门。风险么就看你怎么看了

PeepingTom

楼上和楼上的楼上两个可能错了，因为是kMS激活，

不就有两个版本，HEU和kmspico是两个版本，

肯定有加料，最好自己改写一下代码楼主这帖得頂