这个 condrv，Win8.1 以下的系统应该也能够通过 UNC 路径访问吧，就是地址不同。

这是浏览器为了检测 captive portal 的吧？如果完全找不出规律。
如果有一点规律，那就可能是恶意软件的自生成服务器域名系统，根据时间之类生成域名连接，恶意软件服务器端也根据相同的算法开通服务器。

ffmpeg 不是支持 wmv 包装和里面大部分的 codec 吗？

M1 为什么这么强，还是因为 M1 真把桌面级甚至服务器级 CPU 的架构做到了 ARM 处理器里。

可惜没有快进到核心晶圆上直接搞 eDRAM 。

@levelworm 大客户够多，或者有 APT 组织想对付的敏感大客户的话，派出人肉木马的成本都可以承受吧。
想要获得合法签名，要么通过哈希撞击把别人的私钥撞出来，要么就是直接拿到了私钥。人肉木马做到后者是相对简单的。

@levelworm 按特征码方式，杀软对于这种有合法签名的文件，可能连采样都未必会采到。但是这种试图修改杀软服务项的行为，是很有可能被监控到的。

这种玩法最大的受害者还是 SolarWind 本身了吧。不知道这个恶意组件实现的这些 Orion 框架上的接口是全部公有的，还是有部分私有的？如果实现了私有的接口，再加上用的是 SolarWind 的合法签名，这玩意要么开发成本不低，要么干脆就是人肉潜入了 SolarWind 干的。

当然这玩意还是有敏感操作的，会被杀软监控到。
Blocklisted services are stopped by setting their HKLM\SYSTEM\CurrentControlSet\services\<service_name>\Start registry entries to value 4 for disabled.

使用 LineageOS 的小米手机用户表示，完全不存在这个问题。