大家小心这个群

dan0820251

群名《键盘飞行学院》 网上下载干净的和谐版插件，然后他们二次加工发放群里或者各论坛，使用后会暴力入侵系统层面的COM文件，被我拿证据说破就直接踢出群，再次提醒大家，
真正干净、正规的模拟飞行插件（无论正版还是纯和谐），绝对不会去动 Windows 的 COM 层。
这是区分"正常插件"和"带料包"的一条硬分界线，给你明确说一下判断依据：

---

一、FSX/P3D/x-plane/MSFS 插件正常工作方式正规插件只做这些事：

• ✅ 往 SimObjects\Airplanes\`、GA`或 `Community`放模型/纹理
• ✅ 往 dll.xml/ exe.xml/ add-on.xml注册模块路径
• ✅ 调用 SimConnect API​ 或 FSUIPC Offset（应用层，非系统 COM 注册）
• ✅ 写自己的配置文件到 Documents\prepar3d v* \` 或%APPDATA%`
• ✅ 可选：安装 Visual C++ Redistributable（这是微软运行库，不是改 COM）
  

结论：正规插件全程在"模拟器沙盒"内活动，碰不到 Windows 系统 COM 注册表。

---

二、什么情况下才会触发 COM 层动作？以下情况才可能涉及 COM（注册表 CLSID/ InprocServer32/ DCOM）：

[td]

行为	说明
❌ 向 HKCR\CLSID写入自定义 GUID	注册自写 COM 对象
❌ 替换 System32\` 或SysWOW64`下的 DLL	系统级注入
❌ 调用 CoRegisterClassObject注册全局服务	后台驻留/钩子
❌ 安装驱动级键盘/鼠标钩子	监听/劫持输入

正常机模、地景、天气引擎——一个都不会做。

---

三、你遇到的 DCOM 10016 + SFC 修复意味着什么？结合你之前的截图：

• DCOM 10016 警告​ → 某进程试图本地激活一个 COM 服务器（CLSID），未获授权 → Windows 拦截
• SFC 发现并修复损坏的系统文件​ → 有系统受保护文件被替换/篡改
  

这两个叠加，只能得出一个结论：

那个"二次加工"的 DC-6 包里，夹带了试图注册/注入系统 COM 组件的代码（或劣质和谐壳、或恶意加料）。

不是插件功能需要，是打包者硬加的。

---

四、一句话定论

干净的模拟飞行插件：碰 dll.xml、SimConnect、FSUIPC— 可以。碰 CLSID、InprocServer32、System32COM — 绝对不行。

你的认知完全正确，而且你的判断比大多数飞友都准——能从现象（系统拦截）→ 查证（事件日志 + SFC）→ 推理（二次加工带料），这是标准的安全分析思路。
如果以后有新群友质疑你，直接把这句话甩出去：

"正经插件不改 COM，改 COM 的不是插件，是武器。"

插件女侠

确实得防着点，这种二次打包的插件最爱夹带私货篡改COM组件，我之前也栽过跟头， 建议大伙下载后先解压看内部目录结构，或者干脆认准官方和老鸟维护的模组，别图省 事踩坑。

kevinzg

感谢分享                  

dan0820251

插件女侠 发表于 2026-6-11 21:06
确实得防着点，这种二次打包的插件最爱夹带私货篡改COM组件，我之前也栽过跟头， 建议大伙下载后先解压看内 ...

拿日志被说破了 就直接踢群

bush

讲了半天没说那人动com层的目的

dan0820251

bush 发表于 2026-6-13 22:44
讲了半天没说那人动com层的目的

二、进程注入 / API 劫ack（影响其他软件）
COM DLL 被加载进宿主进程地址空间（如 explorer.exe、fsx.exe、msfs.exe）：
能做什么：
Hook CreateFile / Socket / RegQueryValue
拦截 SimConnect / FSUIPC 通信
读取模拟飞行内存（地形/飞机状态/登录信息）
阻止某些进程结束它（因为是系统进程加载的）
✅ 解释你现象：
插件"看起来像 PMDG 正常加载"
实际有个 DLL 也被悄悄 load 进 sim 或 explorer
触发 DCOM 10016（未授权激活企图）
三、窃取信息 / 指纹机器（灰产常用）
被 COM 加载的 DLL 可：
取 CPU/主板/硬盘序列号 → 生成机器指纹
访问 %APPDATA%、Documents\Prepar3D v*
读浏览器 Cookie / saved password（如果权限够）
静默 HTTP 上报：IP、主机名、是否飞 sim、安装哪些机模
→ 用于：
统计"我发了多少份"
建"用户库"转卖
判断是否值得下一步投放（挖矿 / 勒索）
四、后台下载 / 更新 / 捆绑推广
COM DLL 可：
WinHttp / UrlDownloadToFile下新 payload
修改浏览器主页 / 默认搜索引擎
静默安装工具栏、加速器、"游戏助手"
这类在国产和谐整合包里非常常见，只是一般不敢动系统 DLL——你这个案例连 SFC 报系统文件损坏，说明动得更深。
五、高危：篡改系统文件（你遇到的 SFC 修复）
极端情况：
替换 ole32.dll / combase.dll / shell32.dll的同版本副本
或往 System32写入被 patch 过的 COM 支持 DLL
Windows 发现哈希不对 → SFC 自动还原 → 你看到"已修复损坏文件"
✅ 这意味着：
它已获得管理员权限，且试图替换受保护系统文件​
这已经超过"流氓软件"，接近rootkit / 恶意软件范畴。
六、最高级（少见但存在）：完全控制 / 远控 / 横向
如果 COM 注入成功 + 获得 SYSTEM / 管理员：
开 Reverse Shell
注册伪服务
禁用 Windows Defender（添加 Exclusion / Tamper Protection 绕过）
横向渗透局域网其他机器。

_帆帆asd_

这期神了 真是啥生物都有