/tag/EXE

如题。 本人是 24 年末开始为了一个游戏搓 mod 开始接触的 windows exe 逆向，也算是赶上了人工传统逆向的尾气，在我把最麻烦的部分给逆向了以后，codex 就出来了。 库的话在这里， develop 分支是最新的。 要论我做了什么嘛，简单来说就是把游戏内的几乎所有非媒体的二进制资源给完美反序列化了，均可回写，现在已经能做到不同游戏资源的单向转换与移植。 去年起 agent 牛逼起来后，可以说是 ai 逐渐替代了我的各种工作流，甚至我会拿它写 frida 插桩，动静都强。 个人背景补充就到这。 但是最近，尤其是五一以后，各种 ai 都追加了外审，只要 cyber risk 导致任务 flagged，就立马降智成傻逼，log 都分析不好，插桩就乱写，甚至往我代码里硬写二进制代替 asm 代码，完全无法 review。 所以最近我开始回到了半自动方案，就是自己写 codebase，ai 来顺着我给的偏移，去 hook 实现，然后与 ai 交替看 log，被 flagged 后立马换新任务，或者干脆直接网页端。 有没有像我一样，会把逆向成果固定为高可用工程的佬 ，想问问你们最近的工作流，和你们交流一下各自的想法。 （ps：本人现在做的基本都是黄油的逆向，带壳的程序分析暂不考虑） 8 个帖子 - 5 位参与者 阅读完整话题

如下是具体的报错信息（常常发生在写文档）：Trajectory ID: aeb80796-279f-4367-a59c-e7468c76c627 Error: HTTP 400 Bad Request Sherlog: TraceID: 0xaf9b83bcfe5a2e35 Headers: {“Alt-Svc”:[“h3=":443"; ma=2592000,h3-29=":443"; ma=2592000”],“Content-Length”:[“328”],“Content-Type”:[“text/event-stream”],“Date”:[“Sun, 07 Jun 2026 02:51:28 GMT”],“Server”:[“ESF”],“Server-Timing”:[“gfet4t7; dur=564”],“Vary”:[“Origin”,“X-Origin”,“Referer”],“X-Cloudaicompanion-Trace-Id”:[“af9b83bcfe5a2e35”],“X-Content-Type-Options”:[“nosniff”],“X-Frame-Options”:[“SAMEORIGIN”],“X-Xss-Protection”:[“0”]} { “error”: { “code”: 400, “message”: “{"type":"error","error":{"type":"invalid_request_error","message":"This model does not support assistant message prefill. The conversation must end with a user message."},"request_id":"req_vrtx_011Cbo98KYkz4GKJjwD6XYHx"}”, “status”: “INVALID_ARGUMENT” } } 解决方法：告诉他，只写一行，不要多写。 今天仔细看了一下报错信息，然后可能是文件执行没成功。发现只要说， 只写1行代码 ，往往就可以执行成功，今天遇到几次，发这个提示词有奇效。可能原因是antigravity提供了两个工具，一个是创建文件并且写入（write_to_file）这个只能创建文件，后续不能选择更改，只能覆盖。一个是修改替换在已有文件（replace_file_content）.之前那个错误就应该是在使用write，又生成又写入，导致发送格式不对，被服务器拒绝。采用我刚才说的只写一行就可以有效解决。虽然不知道具体为什么这样有用。各位佬有一样问题的可以试试。 2 个帖子 - 2 位参与者 阅读完整话题

删掉update.exe和repair.exe不起作用 3 个帖子 - 3 位参与者 阅读完整话题

各位 V2EXer 大佬好，小弟新房装修收尾，正在规划全屋清洁家电选购，求助：扫地机器人 + 洗地机选购建议（优先选自动上下水的）。 装修水电阶段已提前预留好了进水、排水点位与电源，满足自动上下水机型安装条件。 之前家里没用过这两类产品，基本上都是妈妈扫地拖地的，新房想靠智能化设备解放家务，能全自动就尽量减少人工操作。 目前纠结两点： 扫地机器人是否值得入手 ：看了不少评论，很多人买来后没用几天就闲置了，日常还要定期清理尘盒、换耗材配件，好麻烦。 自动上下水洗地机选型 ：网上的测评感觉广告居多，很难筛选出真实的使用体验，想听听真实用户的评价。 单品预算在 4000 以内 ，不想无脑上顶配（太贵的不确定有没有必要，主要是不知道效果如何） 自动上下水的洗地机好像真的不多，目前就看到过这 2 款（可能其他没怎么关注）： 云鲸 S3 Max Island 自动上下水版 添可 芙万 Station 系列 在这个领域我是个纯小白，各位大佬有什么想法、意见、建议 都可以畅所欲言~ 我定洗耳恭听

各位 V2EXer 大佬好，小弟新房装修收尾，正在规划全屋清洁家电选购，求助：扫地机器人 + 洗地机选购建议（优先选自动上下水的）。 装修水电阶段已提前预留好了进水、排水点位与电源，满足自动上下水机型安装条件。 之前家里没用过这两类产品，基本上都是妈妈扫地拖地的，新房想靠智能化设备解放家务，能全自动就尽量减少人工操作。 目前纠结两点： 扫地机器人是否值得入手 ：看了不少评论，很多人买来后没用几天就闲置了，日常还要定期清理尘盒、换耗材配件，好麻烦。 自动上下水洗地机选型 ：网上的测评感觉广告居多，很难筛选出真实的使用体验，想听听真实用户的评价。 单品预算在 4000 以内 ，不想无脑上顶配（太贵的不确定有没有必要，主要是不知道效果如何） 自动上下水的洗地机好像真的不多，目前就看到过这 2 款（可能其他没怎么关注）： 云鲸 S3 Max Island 自动上下水版 添可 芙万 Station 系列 在这个领域我是个纯小白，各位大佬有什么想法、意见、建议 都可以畅所欲言~ 我定洗耳恭听

各位 V2EXer 大佬好，小弟新房装修收尾，正在规划全屋清洁家电选购，求助：扫地机器人 + 洗地机选购建议（优先选自动上下水的）。 装修水电阶段已提前预留好了进水、排水点位与电源，满足自动上下水机型安装条件。 之前家里没用过这两类产品，基本上都是妈妈扫地拖地的，新房想靠智能化设备解放家务，能全自动就尽量减少人工操作。 目前纠结两点： 扫地机器人是否值得入手 ：看了不少评论，很多人买来后没用几天就闲置了，日常还要定期清理尘盒、换耗材配件，好麻烦。 自动上下水洗地机选型 ：网上的测评感觉广告居多，很难筛选出真实的使用体验，想听听真实用户的评价。 单品预算在 4000 以内 ，不想无脑上顶配（太贵的不确定有没有必要，主要是不知道效果如何） 自动上下水的洗地机好像真的不多，目前就看到过这 2 款（可能其他没怎么关注）： 云鲸 S3 Max Island 自动上下水版 添可 芙万 Station 系列 在这个领域我是个纯小白，各位大佬有什么想法、意见、建议 都可以畅所欲言~ 我定洗耳恭听

各位 V2EXer 大佬好，小弟新房装修收尾，正在规划全屋清洁家电选购，求助：扫地机器人 + 洗地机选购建议（优先选自动上下水的）。 装修水电阶段已提前预留好了进水、排水点位与电源，满足自动上下水机型安装条件。 之前家里没用过这两类产品，基本上都是妈妈扫地拖地的，新房想靠智能化设备解放家务，能全自动就尽量减少人工操作。 目前纠结两点： 扫地机器人是否值得入手 ：看了不少评论，很多人买来后没用几天就闲置了，日常还要定期清理尘盒、换耗材配件，好麻烦。 自动上下水洗地机选型 ：网上的测评感觉广告居多，很难筛选出真实的使用体验，想听听真实用户的评价。 单品预算在 4000 以内 ，不想无脑上顶配（太贵的不确定有没有必要，主要是不知道效果如何） 自动上下水的洗地机好像真的不多，目前就看到过这 2 款（可能其他没怎么关注）： 云鲸 S3 Max Island 自动上下水版 添可 芙万 Station 系列 在这个领域我是个纯小白，各位大佬有什么想法、意见、建议 都可以畅所欲言~ 我定洗耳恭听

求助佬友，Windows的computer use操作软件经常触发node_repl exec context not found，应该怎么解决呢 4 个帖子 - 4 位参与者 阅读完整话题

以下是我这些天在使用中的反馈： 官方并没有做比较完备的ui接口，我试过了exe的Windows-exe以及tui版本的最终还是选择了一个站内佬的lanucherapp，总体感觉就是： 这些都需要下载了核心（也就是ga的源码下来定位好ga的位置来运行），不同的是lanucher（以下简称la）的在api设置和sop等渠道都更加的简洁明了，包括tui在内的前三个我都感觉在上手上有一定的难度并且问了ai（gpt）似乎不是很动感该怎么操作。 另外的一个问题：sop市场的这些技能真的是可迁移的吗？或者说只是一个从已经熟练过程的agent将过程要点写出来的一个记录而已，可能是我操作的不对似乎我的ga并不那么的会使用这些sop就像是没有实操过程的小白突然获得了焚决。或许ga用的好是人的问题而不是ga的问题？ 7 个帖子 - 2 位参与者 阅读完整话题

最近在寻找 PHP / Go / Web3 远程工作机会时，我经历了一次非常值得记录的事件。 整个过程前半段看起来几乎与正常招聘没有区别： HR 主动联系 技术栈匹配 Zoom 面试 讨论薪资与团队情况 直到后面安装了一个名为 fyMeet.exe 的会议客户端后，电脑开始出现异常，我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。 这篇文章记录完整经过，希望能给同样在寻找远程工作的开发者一些参考。 一、Telegram 上收到 Web3 招聘邀请 5 月 20 日，我在 Telegram 上收到一位 HR 的联系。 对方表示： 你好，你在高并发系统架构和后端开发方向经验很匹配，非常适合担任后端技术负责人或系统架构工程师岗位。 随后介绍了一个名为 OTsea 的 Web3 项目。 项目描述包括： Web3 数字资产基础设施 多链交易平台 链上金融与数据系统 Go / Java / Solidity 技术栈 完全远程办公 5000~8000 USDT 薪资区间 说实话，这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说，非常具有针对性。 而且沟通过程中，对方能够正常回答： 项目阶段 技术栈 团队规模 工作方式 因此当时并没有产生太多怀疑。 如图 1 所示。 二、安排 Zoom 面试 几天后，对方主动安排 Zoom 面试。 使用的是标准 Zoom 链接： https://us05web.zoom.us/... 面试官名叫 Igor 。 整个面试大约持续了 10 分钟左右。 由于对方中文口音较重，我很多内容听得并不清楚，因此面试结束后我主动提出： 是否可以安排英文面试，或者通过文字沟通技术问题。 对方表示： Igor 对此次交流很满意，一个小时后会再次联系我。 直到这里，我依然认为这是一次正常的招聘流程。 毕竟： 使用 Zoom 有真实面试官 有技术交流 有薪资讨论 都比较符合远程团队招聘流程。 如图 2 所示。 三、第二次沟通开始出现异常 大约一个小时后，对方再次联系我： 我们能在 30 分钟后再进行一次电话吗？我觉得您可能很适合我们。 随后，对方没有继续使用 Zoom 。 而是发来了一个我从未听说过的平台： https://fymeet.app 并附带邀请链接： https://fymeet.app/invite?code=xxxxxx 消息内容如下： 您可以连接到我们的 Work Hub ，我们在等您。 此时我虽然有些疑惑，但考虑到 Web3 圈经常使用各种小众协作工具，因此还是点击进入了。 四、最危险的一步：安装 fyMeet 客户端 进入网页后，对方表示： 我们听不到您的声音，请打开麦克风。 随后又询问： VPN 开了吗？ 当时我使用的是网页版。 但始终无法正常进行语音沟通。 于是我尝试下载客户端。 结果发现： 官网客户端下载失败。 随后我询问： 你是用的客户端么？我现在下载不了。 对方很快回复： 请试试这个。 然后直接通过 Telegram 发来了一个压缩包： fyMeet.zip 大小约 29MB 。 解压后得到： fyMeet.exe 现在回头看，这一步其实已经是非常明显的危险信号。 因为正规的远程招聘流程中，很少会出现： 官网下载失败 Telegram 直接发送客户端 要求立即安装并进入会议 这种情况。 如图 3 所示。 五、安装后开始出现异常 运行 fyMeet.exe 后。 我发现整个安装过程非常奇怪。 主要表现为： 多次弹出 CMD 黑框 没有正常安装向导 没有桌面图标 没有开始菜单项 看起来像安装失败 当时我的第一反应是： 可能只是一个比较小众、做得不成熟的会议软件。 因此并没有立刻意识到问题。 直到第二天。 我发现电脑 CPU 占用异常。 任务管理器中出现多个可疑进程： sysupdatewin.exe 随后又变成： sysupdwin.exe CPU 占用一度超过 90%。 结束这些进程后： CPU 占用立即恢复正常。 如图 4 所示。 六、进一步排查 继续查看后发现： 对应文件位于： C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\ 注意这里有一个细节： 目录名居然写成： SysUpdateProccess 而不是： SysUpdateProcess 连 Process 的拼写都错误。 这进一步加深了我的怀疑。 之后我又发现： 存在开机启动项 进程会自动启动 Windows Defender 普通扫描没有发现异常 虽然我尝试进行了 Defender 离线扫描，但仍然没有发现明确结果。 如图 5 所示。 七、现在回头看，这里面有哪些异常信号？ 如果把整个事件串起来看，其实已经存在不少风险信号。 1. 从未听说过的会议平台 fymeet.app 在开发者圈基本没有知名度。 2. 官网客户端无法下载 正常商业软件极少出现这种情况。 3. Telegram 直接发送安装包 这是最大的风险点之一。 4. 安装过程异常 包括： CMD 黑框 无安装界面 无桌面图标 5. 安装后出现异常进程 出现： sysupdatewin.exe sysupdwin.exe 等可疑进程。 6. CPU 持续高占用 结束进程后立即恢复正常。 7. 对方后续不再回应 第二天发现问题后。 我向对方发送了一条消息： 这个文件带木马了，你清楚么？ 结果： 已读。 未回复。 而且我还注意到，对方的 Telegram 昵称从此前的名称变成了另外一个名称。 当然，仅凭这一点无法证明什么。 但整个事件放在一起看，就显得非常耐人寻味。 八、我最终的处理方式 考虑到： 已经运行过未知 EXE 出现持久化进程 Defender 未能明确识别 我本身是开发者，电脑中存在大量开发环境与账号信息 最终我决定： 直接重装系统。 同时准备将主要开发环境迁移到 Ubuntu 。 虽然重装成本不低，但相比持续担心系统是否被植入后门，我认为这是更稳妥的选择。 九、给远程开发者的几点建议 不要因为对方懂技术就放松警惕 真正的攻击者也会研究技术栈和岗位需求。 不要因为前面用了 Zoom 就认为后面一定安全 本次事件前半段几乎完全符合正常招聘流程。 不要运行 Telegram 私发的 EXE 尤其是： xxx.zip 中的： xxx.exe Web3 招聘领域需要额外谨慎 这是一个高薪、跨国、远程协作非常普遍的行业。 同时也是网络攻击和社工攻击高发区域。 开发者本身就是高价值目标 因为开发者电脑中往往存在： GitHub SSH Key VPS 密钥 API Token 浏览器登录态 Web3 钱包插件 因此比普通用户更容易成为攻击目标。 结语 直到现在，我依然无法百分之百确定： fyMeet 是否本身就是恶意软件； OTsea 是否真实存在； 还是某个环节被利用进行了木马投递。 但可以确定的是： 在安装 fyMeet.exe 后，我的电脑确实出现了异常进程与异常资源占用。 因此我选择将整个过程公开记录下来。 如果你也正在寻找远程工作，尤其是 Web3 相关岗位，希望这篇经历能给你提供一个参考。 有些风险，并不是来自那些“一眼假”的诈骗。 而恰恰来自那些看起来非常真实、非常专业的招聘流程。

最近在寻找 PHP / Go / Web3 远程工作机会时，我经历了一次非常值得记录的事件。 整个过程前半段看起来几乎与正常招聘没有区别： HR 主动联系 技术栈匹配 Zoom 面试 讨论薪资与团队情况 直到后面安装了一个名为 fyMeet.exe 的会议客户端后，电脑开始出现异常，我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。 这篇文章记录完整经过，希望能给同样在寻找远程工作的开发者一些参考。 一、Telegram 上收到 Web3 招聘邀请 5 月 20 日，我在 Telegram 上收到一位 HR 的联系。 对方表示： 你好，你在高并发系统架构和后端开发方向经验很匹配，非常适合担任后端技术负责人或系统架构工程师岗位。 随后介绍了一个名为 OTsea 的 Web3 项目。 项目描述包括： Web3 数字资产基础设施 多链交易平台 链上金融与数据系统 Go / Java / Solidity 技术栈 完全远程办公 5000~8000 USDT 薪资区间 说实话，这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说，非常具有针对性。 而且沟通过程中，对方能够正常回答： 项目阶段 技术栈 团队规模 工作方式 因此当时并没有产生太多怀疑。 如图 1 所示。 二、安排 Zoom 面试 几天后，对方主动安排 Zoom 面试。 使用的是标准 Zoom 链接： https://us05web.zoom.us/... 面试官名叫 Igor 。 整个面试大约持续了 10 分钟左右。 由于对方中文口音较重，我很多内容听得并不清楚，因此面试结束后我主动提出： 是否可以安排英文面试，或者通过文字沟通技术问题。 对方表示： Igor 对此次交流很满意，一个小时后会再次联系我。 直到这里，我依然认为这是一次正常的招聘流程。 毕竟： 使用 Zoom 有真实面试官 有技术交流 有薪资讨论 都比较符合远程团队招聘流程。 如图 2 所示。 三、第二次沟通开始出现异常 大约一个小时后，对方再次联系我： 我们能在 30 分钟后再进行一次电话吗？我觉得您可能很适合我们。 随后，对方没有继续使用 Zoom 。 而是发来了一个我从未听说过的平台： https://fymeet.app 并附带邀请链接： https://fymeet.app/invite?code=xxxxxx 消息内容如下： 您可以连接到我们的 Work Hub ，我们在等您。 此时我虽然有些疑惑，但考虑到 Web3 圈经常使用各种小众协作工具，因此还是点击进入了。 四、最危险的一步：安装 fyMeet 客户端 进入网页后，对方表示： 我们听不到您的声音，请打开麦克风。 随后又询问： VPN 开了吗？ 当时我使用的是网页版。 但始终无法正常进行语音沟通。 于是我尝试下载客户端。 结果发现： 官网客户端下载失败。 随后我询问： 你是用的客户端么？我现在下载不了。 对方很快回复： 请试试这个。 然后直接通过 Telegram 发来了一个压缩包： fyMeet.zip 大小约 29MB 。 解压后得到： fyMeet.exe 现在回头看，这一步其实已经是非常明显的危险信号。 因为正规的远程招聘流程中，很少会出现： 官网下载失败 Telegram 直接发送客户端 要求立即安装并进入会议 这种情况。 如图 3 所示。 五、安装后开始出现异常 运行 fyMeet.exe 后。 我发现整个安装过程非常奇怪。 主要表现为： 多次弹出 CMD 黑框 没有正常安装向导 没有桌面图标 没有开始菜单项 看起来像安装失败 当时我的第一反应是： 可能只是一个比较小众、做得不成熟的会议软件。 因此并没有立刻意识到问题。 直到第二天。 我发现电脑 CPU 占用异常。 任务管理器中出现多个可疑进程： sysupdatewin.exe 随后又变成： sysupdwin.exe CPU 占用一度超过 90%。 结束这些进程后： CPU 占用立即恢复正常。 如图 4 所示。 六、进一步排查 继续查看后发现： 对应文件位于： C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\ 注意这里有一个细节： 目录名居然写成： SysUpdateProccess 而不是： SysUpdateProcess 连 Process 的拼写都错误。 这进一步加深了我的怀疑。 之后我又发现： 存在开机启动项 进程会自动启动 Windows Defender 普通扫描没有发现异常 虽然我尝试进行了 Defender 离线扫描，但仍然没有发现明确结果。 如图 5 所示。 七、现在回头看，这里面有哪些异常信号？ 如果把整个事件串起来看，其实已经存在不少风险信号。 1. 从未听说过的会议平台 fymeet.app 在开发者圈基本没有知名度。 2. 官网客户端无法下载 正常商业软件极少出现这种情况。 3. Telegram 直接发送安装包 这是最大的风险点之一。 4. 安装过程异常 包括： CMD 黑框 无安装界面 无桌面图标 5. 安装后出现异常进程 出现： sysupdatewin.exe sysupdwin.exe 等可疑进程。 6. CPU 持续高占用 结束进程后立即恢复正常。 7. 对方后续不再回应 第二天发现问题后。 我向对方发送了一条消息： 这个文件带木马了，你清楚么？ 结果： 已读。 未回复。 而且我还注意到，对方的 Telegram 昵称从此前的名称变成了另外一个名称。 当然，仅凭这一点无法证明什么。 但整个事件放在一起看，就显得非常耐人寻味。 八、我最终的处理方式 考虑到： 已经运行过未知 EXE 出现持久化进程 Defender 未能明确识别 我本身是开发者，电脑中存在大量开发环境与账号信息 最终我决定： 直接重装系统。 同时准备将主要开发环境迁移到 Ubuntu 。 虽然重装成本不低，但相比持续担心系统是否被植入后门，我认为这是更稳妥的选择。 九、给远程开发者的几点建议 不要因为对方懂技术就放松警惕 真正的攻击者也会研究技术栈和岗位需求。 不要因为前面用了 Zoom 就认为后面一定安全 本次事件前半段几乎完全符合正常招聘流程。 不要运行 Telegram 私发的 EXE 尤其是： xxx.zip 中的： xxx.exe Web3 招聘领域需要额外谨慎 这是一个高薪、跨国、远程协作非常普遍的行业。 同时也是网络攻击和社工攻击高发区域。 开发者本身就是高价值目标 因为开发者电脑中往往存在： GitHub SSH Key VPS 密钥 API Token 浏览器登录态 Web3 钱包插件 因此比普通用户更容易成为攻击目标。 结语 直到现在，我依然无法百分之百确定： fyMeet 是否本身就是恶意软件； OTsea 是否真实存在； 还是某个环节被利用进行了木马投递。 但可以确定的是： 在安装 fyMeet.exe 后，我的电脑确实出现了异常进程与异常资源占用。 因此我选择将整个过程公开记录下来。 如果你也正在寻找远程工作，尤其是 Web3 相关岗位，希望这篇经历能给你提供一个参考。 有些风险，并不是来自那些“一眼假”的诈骗。 而恰恰来自那些看起来非常真实、非常专业的招聘流程。

最近在寻找 PHP / Go / Web3 远程工作机会时，我经历了一次非常值得记录的事件。 整个过程前半段看起来几乎与正常招聘没有区别： HR 主动联系 技术栈匹配 Zoom 面试 讨论薪资与团队情况 直到后面安装了一个名为 fyMeet.exe 的会议客户端后，电脑开始出现异常，我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。 这篇文章记录完整经过，希望能给同样在寻找远程工作的开发者一些参考。 一、Telegram 上收到 Web3 招聘邀请 5 月 20 日，我在 Telegram 上收到一位 HR 的联系。 对方表示： 你好，你在高并发系统架构和后端开发方向经验很匹配，非常适合担任后端技术负责人或系统架构工程师岗位。 随后介绍了一个名为 OTsea 的 Web3 项目。 项目描述包括： Web3 数字资产基础设施 多链交易平台 链上金融与数据系统 Go / Java / Solidity 技术栈 完全远程办公 5000~8000 USDT 薪资区间 说实话，这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说，非常具有针对性。 而且沟通过程中，对方能够正常回答： 项目阶段 技术栈 团队规模 工作方式 因此当时并没有产生太多怀疑。 如图 1 所示。 二、安排 Zoom 面试 几天后，对方主动安排 Zoom 面试。 使用的是标准 Zoom 链接： https://us05web.zoom.us/... 面试官名叫 Igor 。 整个面试大约持续了 10 分钟左右。 由于对方中文口音较重，我很多内容听得并不清楚，因此面试结束后我主动提出： 是否可以安排英文面试，或者通过文字沟通技术问题。 对方表示： Igor 对此次交流很满意，一个小时后会再次联系我。 直到这里，我依然认为这是一次正常的招聘流程。 毕竟： 使用 Zoom 有真实面试官 有技术交流 有薪资讨论 都比较符合远程团队招聘流程。 如图 2 所示。 三、第二次沟通开始出现异常 大约一个小时后，对方再次联系我： 我们能在 30 分钟后再进行一次电话吗？我觉得您可能很适合我们。 随后，对方没有继续使用 Zoom 。 而是发来了一个我从未听说过的平台： https://fymeet.app 并附带邀请链接： https://fymeet.app/invite?code=xxxxxx 消息内容如下： 您可以连接到我们的 Work Hub ，我们在等您。 此时我虽然有些疑惑，但考虑到 Web3 圈经常使用各种小众协作工具，因此还是点击进入了。 四、最危险的一步：安装 fyMeet 客户端 进入网页后，对方表示： 我们听不到您的声音，请打开麦克风。 随后又询问： VPN 开了吗？ 当时我使用的是网页版。 但始终无法正常进行语音沟通。 于是我尝试下载客户端。 结果发现： 官网客户端下载失败。 随后我询问： 你是用的客户端么？我现在下载不了。 对方很快回复： 请试试这个。 然后直接通过 Telegram 发来了一个压缩包： fyMeet.zip 大小约 29MB 。 解压后得到： fyMeet.exe 现在回头看，这一步其实已经是非常明显的危险信号。 因为正规的远程招聘流程中，很少会出现： 官网下载失败 Telegram 直接发送客户端 要求立即安装并进入会议 这种情况。 如图 3 所示。 五、安装后开始出现异常 运行 fyMeet.exe 后。 我发现整个安装过程非常奇怪。 主要表现为： 多次弹出 CMD 黑框 没有正常安装向导 没有桌面图标 没有开始菜单项 看起来像安装失败 当时我的第一反应是： 可能只是一个比较小众、做得不成熟的会议软件。 因此并没有立刻意识到问题。 直到第二天。 我发现电脑 CPU 占用异常。 任务管理器中出现多个可疑进程： sysupdatewin.exe 随后又变成： sysupdwin.exe CPU 占用一度超过 90%。 结束这些进程后： CPU 占用立即恢复正常。 如图 4 所示。 六、进一步排查 继续查看后发现： 对应文件位于： C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\ 注意这里有一个细节： 目录名居然写成： SysUpdateProccess 而不是： SysUpdateProcess 连 Process 的拼写都错误。 这进一步加深了我的怀疑。 之后我又发现： 存在开机启动项 进程会自动启动 Windows Defender 普通扫描没有发现异常 虽然我尝试进行了 Defender 离线扫描，但仍然没有发现明确结果。 如图 5 所示。 七、现在回头看，这里面有哪些异常信号？ 如果把整个事件串起来看，其实已经存在不少风险信号。 1. 从未听说过的会议平台 fymeet.app 在开发者圈基本没有知名度。 2. 官网客户端无法下载 正常商业软件极少出现这种情况。 3. Telegram 直接发送安装包 这是最大的风险点之一。 4. 安装过程异常 包括： CMD 黑框 无安装界面 无桌面图标 5. 安装后出现异常进程 出现： sysupdatewin.exe sysupdwin.exe 等可疑进程。 6. CPU 持续高占用 结束进程后立即恢复正常。 7. 对方后续不再回应 第二天发现问题后。 我向对方发送了一条消息： 这个文件带木马了，你清楚么？ 结果： 已读。 未回复。 而且我还注意到，对方的 Telegram 昵称从此前的名称变成了另外一个名称。 当然，仅凭这一点无法证明什么。 但整个事件放在一起看，就显得非常耐人寻味。 八、我最终的处理方式 考虑到： 已经运行过未知 EXE 出现持久化进程 Defender 未能明确识别 我本身是开发者，电脑中存在大量开发环境与账号信息 最终我决定： 直接重装系统。 同时准备将主要开发环境迁移到 Ubuntu 。 虽然重装成本不低，但相比持续担心系统是否被植入后门，我认为这是更稳妥的选择。 九、给远程开发者的几点建议 不要因为对方懂技术就放松警惕 真正的攻击者也会研究技术栈和岗位需求。 不要因为前面用了 Zoom 就认为后面一定安全 本次事件前半段几乎完全符合正常招聘流程。 不要运行 Telegram 私发的 EXE 尤其是： xxx.zip 中的： xxx.exe Web3 招聘领域需要额外谨慎 这是一个高薪、跨国、远程协作非常普遍的行业。 同时也是网络攻击和社工攻击高发区域。 开发者本身就是高价值目标 因为开发者电脑中往往存在： GitHub SSH Key VPS 密钥 API Token 浏览器登录态 Web3 钱包插件 因此比普通用户更容易成为攻击目标。 结语 直到现在，我依然无法百分之百确定： fyMeet 是否本身就是恶意软件； OTsea 是否真实存在； 还是某个环节被利用进行了木马投递。 但可以确定的是： 在安装 fyMeet.exe 后，我的电脑确实出现了异常进程与异常资源占用。 因此我选择将整个过程公开记录下来。 如果你也正在寻找远程工作，尤其是 Web3 相关岗位，希望这篇经历能给你提供一个参考。 有些风险，并不是来自那些“一眼假”的诈骗。 而恰恰来自那些看起来非常真实、非常专业的招聘流程。

最近在寻找 PHP / Go / Web3 远程工作机会时，我经历了一次非常值得记录的事件。 整个过程前半段看起来几乎与正常招聘没有区别： HR 主动联系 技术栈匹配 Zoom 面试 讨论薪资与团队情况 直到后面安装了一个名为 fyMeet.exe 的会议客户端后，电脑开始出现异常，我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。 这篇文章记录完整经过，希望能给同样在寻找远程工作的开发者一些参考。 一、Telegram 上收到 Web3 招聘邀请 5 月 20 日，我在 Telegram 上收到一位 HR 的联系。 对方表示： 你好，你在高并发系统架构和后端开发方向经验很匹配，非常适合担任后端技术负责人或系统架构工程师岗位。 随后介绍了一个名为 OTsea 的 Web3 项目。 项目描述包括： Web3 数字资产基础设施 多链交易平台 链上金融与数据系统 Go / Java / Solidity 技术栈 完全远程办公 5000~8000 USDT 薪资区间 说实话，这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说，非常具有针对性。 而且沟通过程中，对方能够正常回答： 项目阶段 技术栈 团队规模 工作方式 因此当时并没有产生太多怀疑。 如图 1 所示。 二、安排 Zoom 面试 几天后，对方主动安排 Zoom 面试。 使用的是标准 Zoom 链接： https://us05web.zoom.us/... 面试官名叫 Igor 。 整个面试大约持续了 10 分钟左右。 由于对方中文口音较重，我很多内容听得并不清楚，因此面试结束后我主动提出： 是否可以安排英文面试，或者通过文字沟通技术问题。 对方表示： Igor 对此次交流很满意，一个小时后会再次联系我。 直到这里，我依然认为这是一次正常的招聘流程。 毕竟： 使用 Zoom 有真实面试官 有技术交流 有薪资讨论 都比较符合远程团队招聘流程。 如图 2 所示。 三、第二次沟通开始出现异常 大约一个小时后，对方再次联系我： 我们能在 30 分钟后再进行一次电话吗？我觉得您可能很适合我们。 随后，对方没有继续使用 Zoom 。 而是发来了一个我从未听说过的平台： https://fymeet.app 并附带邀请链接： https://fymeet.app/invite?code=xxxxxx 消息内容如下： 您可以连接到我们的 Work Hub ，我们在等您。 此时我虽然有些疑惑，但考虑到 Web3 圈经常使用各种小众协作工具，因此还是点击进入了。 四、最危险的一步：安装 fyMeet 客户端 进入网页后，对方表示： 我们听不到您的声音，请打开麦克风。 随后又询问： VPN 开了吗？ 当时我使用的是网页版。 但始终无法正常进行语音沟通。 于是我尝试下载客户端。 结果发现： 官网客户端下载失败。 随后我询问： 你是用的客户端么？我现在下载不了。 对方很快回复： 请试试这个。 然后直接通过 Telegram 发来了一个压缩包： fyMeet.zip 大小约 29MB 。 解压后得到： fyMeet.exe 现在回头看，这一步其实已经是非常明显的危险信号。 因为正规的远程招聘流程中，很少会出现： 官网下载失败 Telegram 直接发送客户端 要求立即安装并进入会议 这种情况。 如图 3 所示。 五、安装后开始出现异常 运行 fyMeet.exe 后。 我发现整个安装过程非常奇怪。 主要表现为： 多次弹出 CMD 黑框 没有正常安装向导 没有桌面图标 没有开始菜单项 看起来像安装失败 当时我的第一反应是： 可能只是一个比较小众、做得不成熟的会议软件。 因此并没有立刻意识到问题。 直到第二天。 我发现电脑 CPU 占用异常。 任务管理器中出现多个可疑进程： sysupdatewin.exe 随后又变成： sysupdwin.exe CPU 占用一度超过 90%。 结束这些进程后： CPU 占用立即恢复正常。 如图 4 所示。 六、进一步排查 继续查看后发现： 对应文件位于： C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\ 注意这里有一个细节： 目录名居然写成： SysUpdateProccess 而不是： SysUpdateProcess 连 Process 的拼写都错误。 这进一步加深了我的怀疑。 之后我又发现： 存在开机启动项 进程会自动启动 Windows Defender 普通扫描没有发现异常 虽然我尝试进行了 Defender 离线扫描，但仍然没有发现明确结果。 如图 5 所示。 七、现在回头看，这里面有哪些异常信号？ 如果把整个事件串起来看，其实已经存在不少风险信号。 1. 从未听说过的会议平台 fymeet.app 在开发者圈基本没有知名度。 2. 官网客户端无法下载 正常商业软件极少出现这种情况。 3. Telegram 直接发送安装包 这是最大的风险点之一。 4. 安装过程异常 包括： CMD 黑框 无安装界面 无桌面图标 5. 安装后出现异常进程 出现： sysupdatewin.exe sysupdwin.exe 等可疑进程。 6. CPU 持续高占用 结束进程后立即恢复正常。 7. 对方后续不再回应 第二天发现问题后。 我向对方发送了一条消息： 这个文件带木马了，你清楚么？ 结果： 已读。 未回复。 而且我还注意到，对方的 Telegram 昵称从此前的名称变成了另外一个名称。 当然，仅凭这一点无法证明什么。 但整个事件放在一起看，就显得非常耐人寻味。 八、我最终的处理方式 考虑到： 已经运行过未知 EXE 出现持久化进程 Defender 未能明确识别 我本身是开发者，电脑中存在大量开发环境与账号信息 最终我决定： 直接重装系统。 同时准备将主要开发环境迁移到 Ubuntu 。 虽然重装成本不低，但相比持续担心系统是否被植入后门，我认为这是更稳妥的选择。 九、给远程开发者的几点建议 不要因为对方懂技术就放松警惕 真正的攻击者也会研究技术栈和岗位需求。 不要因为前面用了 Zoom 就认为后面一定安全 本次事件前半段几乎完全符合正常招聘流程。 不要运行 Telegram 私发的 EXE 尤其是： xxx.zip 中的： xxx.exe Web3 招聘领域需要额外谨慎 这是一个高薪、跨国、远程协作非常普遍的行业。 同时也是网络攻击和社工攻击高发区域。 开发者本身就是高价值目标 因为开发者电脑中往往存在： GitHub SSH Key VPS 密钥 API Token 浏览器登录态 Web3 钱包插件 因此比普通用户更容易成为攻击目标。 结语 直到现在，我依然无法百分之百确定： fyMeet 是否本身就是恶意软件； OTsea 是否真实存在； 还是某个环节被利用进行了木马投递。 但可以确定的是： 在安装 fyMeet.exe 后，我的电脑确实出现了异常进程与异常资源占用。 因此我选择将整个过程公开记录下来。 如果你也正在寻找远程工作，尤其是 Web3 相关岗位，希望这篇经历能给你提供一个参考。 有些风险，并不是来自那些“一眼假”的诈骗。 而恰恰来自那些看起来非常真实、非常专业的招聘流程。

最近在寻找 PHP / Go / Web3 远程工作机会时，我经历了一次非常值得记录的事件。 整个过程前半段看起来几乎与正常招聘没有区别： HR 主动联系 技术栈匹配 Zoom 面试 讨论薪资与团队情况 直到后面安装了一个名为 fyMeet.exe 的会议客户端后，电脑开始出现异常，我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。 这篇文章记录完整经过，希望能给同样在寻找远程工作的开发者一些参考。 一、Telegram 上收到 Web3 招聘邀请 5 月 20 日，我在 Telegram 上收到一位 HR 的联系。 对方表示： 你好，你在高并发系统架构和后端开发方向经验很匹配，非常适合担任后端技术负责人或系统架构工程师岗位。 随后介绍了一个名为 OTsea 的 Web3 项目。 项目描述包括： Web3 数字资产基础设施 多链交易平台 链上金融与数据系统 Go / Java / Solidity 技术栈 完全远程办公 5000~8000 USDT 薪资区间 说实话，这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说，非常具有针对性。 而且沟通过程中，对方能够正常回答： 项目阶段 技术栈 团队规模 工作方式 因此当时并没有产生太多怀疑。 如图 1 所示。 二、安排 Zoom 面试 几天后，对方主动安排 Zoom 面试。 使用的是标准 Zoom 链接： https://us05web.zoom.us/... 面试官名叫 Igor 。 整个面试大约持续了 10 分钟左右。 由于对方中文口音较重，我很多内容听得并不清楚，因此面试结束后我主动提出： 是否可以安排英文面试，或者通过文字沟通技术问题。 对方表示： Igor 对此次交流很满意，一个小时后会再次联系我。 直到这里，我依然认为这是一次正常的招聘流程。 毕竟： 使用 Zoom 有真实面试官 有技术交流 有薪资讨论 都比较符合远程团队招聘流程。 如图 2 所示。 三、第二次沟通开始出现异常 大约一个小时后，对方再次联系我： 我们能在 30 分钟后再进行一次电话吗？我觉得您可能很适合我们。 随后，对方没有继续使用 Zoom 。 而是发来了一个我从未听说过的平台： https://fymeet.app 并附带邀请链接： https://fymeet.app/invite?code=xxxxxx 消息内容如下： 您可以连接到我们的 Work Hub ，我们在等您。 此时我虽然有些疑惑，但考虑到 Web3 圈经常使用各种小众协作工具，因此还是点击进入了。 四、最危险的一步：安装 fyMeet 客户端 进入网页后，对方表示： 我们听不到您的声音，请打开麦克风。 随后又询问： VPN 开了吗？ 当时我使用的是网页版。 但始终无法正常进行语音沟通。 于是我尝试下载客户端。 结果发现： 官网客户端下载失败。 随后我询问： 你是用的客户端么？我现在下载不了。 对方很快回复： 请试试这个。 然后直接通过 Telegram 发来了一个压缩包： fyMeet.zip 大小约 29MB 。 解压后得到： fyMeet.exe 现在回头看，这一步其实已经是非常明显的危险信号。 因为正规的远程招聘流程中，很少会出现： 官网下载失败 Telegram 直接发送客户端 要求立即安装并进入会议 这种情况。 如图 3 所示。 五、安装后开始出现异常 运行 fyMeet.exe 后。 我发现整个安装过程非常奇怪。 主要表现为： 多次弹出 CMD 黑框 没有正常安装向导 没有桌面图标 没有开始菜单项 看起来像安装失败 当时我的第一反应是： 可能只是一个比较小众、做得不成熟的会议软件。 因此并没有立刻意识到问题。 直到第二天。 我发现电脑 CPU 占用异常。 任务管理器中出现多个可疑进程： sysupdatewin.exe 随后又变成： sysupdwin.exe CPU 占用一度超过 90%。 结束这些进程后： CPU 占用立即恢复正常。 如图 4 所示。 六、进一步排查 继续查看后发现： 对应文件位于： C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\ 注意这里有一个细节： 目录名居然写成： SysUpdateProccess 而不是： SysUpdateProcess 连 Process 的拼写都错误。 这进一步加深了我的怀疑。 之后我又发现： 存在开机启动项 进程会自动启动 Windows Defender 普通扫描没有发现异常 虽然我尝试进行了 Defender 离线扫描，但仍然没有发现明确结果。 如图 5 所示。 七、现在回头看，这里面有哪些异常信号？ 如果把整个事件串起来看，其实已经存在不少风险信号。 1. 从未听说过的会议平台 fymeet.app 在开发者圈基本没有知名度。 2. 官网客户端无法下载 正常商业软件极少出现这种情况。 3. Telegram 直接发送安装包 这是最大的风险点之一。 4. 安装过程异常 包括： CMD 黑框 无安装界面 无桌面图标 5. 安装后出现异常进程 出现： sysupdatewin.exe sysupdwin.exe 等可疑进程。 6. CPU 持续高占用 结束进程后立即恢复正常。 7. 对方后续不再回应 第二天发现问题后。 我向对方发送了一条消息： 这个文件带木马了，你清楚么？ 结果： 已读。 未回复。 而且我还注意到，对方的 Telegram 昵称从此前的名称变成了另外一个名称。 当然，仅凭这一点无法证明什么。 但整个事件放在一起看，就显得非常耐人寻味。 八、我最终的处理方式 考虑到： 已经运行过未知 EXE 出现持久化进程 Defender 未能明确识别 我本身是开发者，电脑中存在大量开发环境与账号信息 最终我决定： 直接重装系统。 同时准备将主要开发环境迁移到 Ubuntu 。 虽然重装成本不低，但相比持续担心系统是否被植入后门，我认为这是更稳妥的选择。 九、给远程开发者的几点建议 不要因为对方懂技术就放松警惕 真正的攻击者也会研究技术栈和岗位需求。 不要因为前面用了 Zoom 就认为后面一定安全 本次事件前半段几乎完全符合正常招聘流程。 不要运行 Telegram 私发的 EXE 尤其是： xxx.zip 中的： xxx.exe Web3 招聘领域需要额外谨慎 这是一个高薪、跨国、远程协作非常普遍的行业。 同时也是网络攻击和社工攻击高发区域。 开发者本身就是高价值目标 因为开发者电脑中往往存在： GitHub SSH Key VPS 密钥 API Token 浏览器登录态 Web3 钱包插件 因此比普通用户更容易成为攻击目标。 结语 直到现在，我依然无法百分之百确定： fyMeet 是否本身就是恶意软件； OTsea 是否真实存在； 还是某个环节被利用进行了木马投递。 但可以确定的是： 在安装 fyMeet.exe 后，我的电脑确实出现了异常进程与异常资源占用。 因此我选择将整个过程公开记录下来。 如果你也正在寻找远程工作，尤其是 Web3 相关岗位，希望这篇经历能给你提供一个参考。 有些风险，并不是来自那些“一眼假”的诈骗。 而恰恰来自那些看起来非常真实、非常专业的招聘流程。

Win10 使用 Clash Verge，没开系统代理，也没开 TUN。 Clash 打开运行一段时间后，浏览器网页打不开，但微信等软件基本正常。退出 Clash 后网络恢复。 这种现象是不是 Mihomo 内核 DNS 模块假死，没开系统代理和 TUN 的情况下，为什么 Mihomo 假死会影响系统 DNS？ 是我的YAML 出现问题了么 下面是我的文件开头 allow-lan: true dns: enabled: true fallback: - 8.8.8.8 - 8.8.4.4 - tls://1.0.0.1:853 - tls://dns.google:853 nameserver: - 119.29.29.29 - 223.5.5.5 external-controller: :9090 log-level: info mode: Rule port: 7890 1 个帖子 - 1 位参与者 阅读完整话题

是Antigravity IDE.exe，也就是Antigravity 2.0版的IDE。 现在一直提示沙箱环境，无法运行这些命令， 由于当前代理运行的环境中命令行权限与沙箱存在进程限制，我无法在您的终端中直接代执行 git 进程。请您在本地终端中运行以下命令 但是实际上我在这些地方设置过，好像没有起作用 1 个帖子 - 1 位参与者 阅读完整话题

linux do什么时候能出一个桌面版(exe或苹果系统)和安卓版啊 或者说是不打算出？ 8 个帖子 - 7 位参与者 阅读完整话题

docker exec -it cli-proxy-api sh -c ‘cd /CLIProxyAPI && ./CLIProxyAPI --codex-device-login’ 各位大佬，执行这个cpa是如何避免号码等验证的呢？ 4 个帖子 - 4 位参与者 阅读完整话题

求助大佬有没有遇到这个问题的，我的情况是同一个帐号在windows下是正常的，gemini, claude, gpt都能用，在ubuntu系统下只有gemini模型报错这个 详细日志如下： Trajectory ID: 182eaf22-d9ff-41c4-9469-71ac7d2e0749 Error: HTTP 400 Bad Request Sherlog: TraceID: 0x470793f7b89cd323 Headers: {“Alt-Svc”:[“h3=":443"; ma=2592000,h3-29=":443"; ma=2592000”],“Content-Length”:[“140”],“Content-Type”:[“text/event-stream”],“Date”:[“Mon, 25 May 2026 01:15:39 GMT”],“Server”:[“ESF”],“Server-Timing”:[“gfet4t7; dur=684”],“Vary”:[“Origin”,“X-Origin”,“Referer”],“X-Cloudaicompanion-Trace-Id”:[“470793f7b89cd323”],“X-Content-Type-Options”:[“nosniff”],“X-Frame-Options”:[“SAMEORIGIN”],“X-Xss-Protection”:[“0”]} { “error”: { “code”: 400, “message”: “User location is not supported for the API use.”, “status”: “FAILED_PRECONDITION” } } 6 个帖子 - 5 位参与者 阅读完整话题

看了一个这个： https://www.bilibili.com/video/BV1ZmG46MEut 有点焦虑，Agent 一个操作就是几百个工具调用，几十个 exec 没人会一个一个审核吧，太容易中毒了。 里面翻倍，注水我都能忍，但是安全性如何保证，比如偷偷的把某个 tool calling 的改成 exec 命令执行 npx vite-build-xxx 然后 vite-build-xxx 其实是中转站 push 上去的一个恶意程序怎么办。