超自然行动组exe，疑似误报

图钉鱼

误报，复检GVoice.dll为正常文件，无恶意代码。GVoice.dll是一个依赖gvoice-sdk.dll的插件模块，主要功能是初始化语音组件，未检测到明显的恶意行为，但存在DLL劫持漏洞和潜在内存越界访问。
验证gvoice-sdk.dll的完整性（通过哈希值比对），防止 DLL 劫持。
函数：sub_1800014C0（0x1800014c0）
风险类型：潜在内存越界访问

反编译代码中存在未校验的指针操作逻辑：

1. c
   
2.   v11 = *(_QWORD *)(v8 + 60); // v11来自TLS存储（v8 = *(_QWORD *)(v3 + 8)）
   
3.   if (v11) {
   
4.     v12 = *(_QWORD **)(v8 + 68); // v12指向指针数组
   
5.     while (*(_DWORD *)*v12 != 25 || *(_DWORD *)(*v12 + 4LL) != 1) {
   
6.       ++v10;
   
7.       v12 += 2; // 每次移动2个QWORD（16字节），未校验边界
   
8.       if (v10 >= v11) // 循环次数由v11控制
   
9.         goto LABEL_13;
   
10.     }
    
11.   }

复制代码

v11的值来自TLS存储（v8 + 60），若v11未经过校验，可能导致循环次数超过指针数组的实际长度。
v12指针每次移动2个QWORD（16字节），未校验数组边界，若v11过大，会导致v12越界访问内存，可能触内存破坏或代码执行。