前段时间，在PowerMemory上工作时，我在其中一台电脑上发现了一个由Nvidia配置的隐藏帐户（https://twitter.com/pabraeken/status/651369704746020864）。

然后，当我看到Hexacorn文章（http://www.hexacorn.com/blog/2017/11/10/reusigned-binaries-living-off-the-signed -land /）时，我非常开心。

我开始寻找Nvidia其他类似的可执行系统命令，以及Nvidia的合法性。

我发现这一个：

运行它，之后看他的参数很有希望执行命令。

命令列表包括Hexacorn发现的：

AddUninstall，Call，CheckPath，CheckRAID，ClassSweep，Copy，CopyV，CreateDevice，CreateShortcut，Del，DelBoot，DelBootQuiet，DelIniIfMatched，DelOemInfs，DelReg，DelRegE，DirAndApply，Echo，EnumDevices， EnumRegCmd，EnumRegNamesCmd，Eval，FindOEMInf，GetDrivePort，GetFolderPath，GetInfGUID，GetReg，Help，If，InstallDriver，InstallDriverEx，KillApp，RemoveDevice，Run，RunOnce，SendMessage，Set，SetEnv，SetReg，Sleep，Splash，StartLogging，StopLogging，SysCallAndWait，系统，UnifyUninst，卸载，UnInstallEx，UninstallGUI，UninstallService，WaitOnRegDel

以下这些命令的说明：

Decrement: 以数字方式减少变量

Increment: 以数字方式增加一个变量

DisplayControlPanel：显示有关显示控制面板卸载的消息。

AskToCloseAndExitIfRunning：给定应用程序名称，枚举所有正在运行的应用程序以进行匹配。如果找到，则提示用户关闭应用程序。

RemoveDriverStore：使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是（PCI，EISA等），HWID通常是VEN_10DE，设备类型可以是DISPLAY，HDC，MEDIA，NET，SYSTEM。

RemoveDeviceEx：使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是（PCI，EISA等），HWID通常是VEN_10DE，设备类型可以是DISPLAY，HDC，MEDIA，NET，SYSTEM。

DisableDevice：使用setupdi调用禁用与系统中给定描述相匹配的任何设备。 Enum可以是（PCI，EISA等），HWID通常是VEN_10DE，设备类型可以是DISPLAY，HDC，MEDIA，NET，SYSTEM。

RemoveUpperFilter：从指定它的任何设备中删除过滤器服务。

StopService：卸载给定的服务名称。

RmString：如果找到，则从原始字符串中删除该字符串，并将结果保存到新变量中。

DelAll：删除给定的文件夹，如果它存在，它也删除文件夹内的内容。

DisplayControlPanel：显示有关显示控制面板卸载的消息。

AskToCloseAndExitIfRunning：给定应用程序名称，枚举所有正在运行的应用程序以进行匹配。如果找到，则提示用户关闭应用程序。

RemoveDriverStore：使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是（PCI，EISA等），HWID通常是VEN_10DE，设备类型可以是DISPLAY，HDC，MEDIA，NET，SYSTEM。

RemoveDeviceEx：使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是（PCI，EISA等），HWID通常是VEN_10DE，设备类型可以是DISPLAY，HDC，MEDIA，NET，SYSTEM。

DisableDevice：使用setupdi调用禁用与系统中给定描述相匹配的任何设备。 Enum可以是（PCI，EISA等），HWID通常是VEN_10DE，设备类型可以是DISPLAY，HDC，MEDIA，NET，SYSTEM。

RemoveUpperFilter：从指定它的任何设备中删除过滤器服务。

StopService：卸载给定的服务名称。

RmString：如果找到，则从原始字符串中删除该字符串，并将结果保存到新变量中。

DelAll：删除给定的文件夹，如果它存在，它也删除文件夹内的内容。

运行 calc.exe

查看信息显示我们该文件需要管理员权限（与Hexacorn描述的二进制文件nvuhda.exe和nvuhda6.exe完全相同）。

Sigcheck -m nvudisp.exe

这是一个有意义的研究，攻击者可以用来打破标准的EDR检测规则。