纯物理也被威胁
纯物理也被威胁 不是说好纯物理不需要个人信息?只拍题就好了?既然如此,考生怎可能被威胁呢?机构又能以什么样的方式威胁考生呢? 嘿,还真不是ELPIS危言耸听!其实这个问题只要稍作分析,就能明白所谓“纯物理无法威胁考生”纯属无稽之谈。 来看这个例子,这位声音超好听的🇨🇳小姐姐就遭遇了“纯物理被威胁”。起因是小姐姐选择了某机构的纯物理方法,抛开心惊胆战的架起两部手机拍题不谈,机构给的作文居然“AI味特别浓”。 不出所料,小姐姐GRE作文取得了2.5分的“好成绩”。但Verbal+Quant却考了338分! 要知道绝大部分北美高校都注册了ETS的Data Service服务,是可以直接查阅考生的GRE作文文本的。在申请的时候,招生官会注意GRE作文与申请文书的匹配程度。如果GRE作文极低,但是文书又流畅无比,很容易让招生官怀疑你的申请是假借他人之手。 在此ELPIS提醒各位,考试不是目的,申请才是。所以切莫好大喜功,要求一个与自己背景根本不符的成绩,这对申请百害而无一利。更重要的是,成绩之间互相匹配才是正解。 言归正传,小姐姐的成绩确实是出分了,但是这个成绩像是炸弹,只能看,不能送,一送分申请就炸。站在小姐姐的角度,她在前期又是刷烂小红书,又是各种对比机构,又是在考试中心惊胆战的操作,结果考出来一个根本用不了的成绩,自然是不想付钱。但是机构咬死分数已经出来了,就得付款。双方无法达成一致,机构开始威胁学生的操作了。 机构知道什么信息? 你的考试开始时间 你的作文全文(毕竟是机构写的,或者用AI生成的) 你的题目顺序 你的题目答案(Again,是机构做的题) 所以,如果给ets一封这样的邮件: ets您好,有一位考生在北京时间20XX年X月X日XX点XX分进行了一次GRE考试,并存在作弊行为。以下是证据: 你的作文全文 你拍题的照片 机构给你的答案 微信聊天记录的截图 你猜,结果会怎么样? 请问,你还会相信“纯物理无威胁”的谬论吗? In fact,你还会觉得纯物理是种好方法吗?
红字的研究 A Study in Scarlet
红字 的研究 A Study in Scarlet 《血字的研究》是英国著名小说家阿瑟·柯南·道尔于1887年首次以夏洛克·福尔摩斯为主角所创作的推理小说。 《红字的研究》是美国著名保分机构ELPIS于2025年首次以“字幕保分方案”为主角所创作的翻车实录。 2025年5月,TOEFL At Home正式全量roll out双机位监考制,覆盖所有国家和地区。 2025年4月托福双机位灰度测试 显然,在笔记本摄像头和手机摄像头的双重监控之下,考生没办法利用外置的设备接收答案。像从前一样将手机靠在屏幕前通过共享文档接收答案的“纯物理”时代一去不复返了。 取而代之的是另一种更加隐蔽的方案。在小红书上,这种方案多被称之为“字幕”或者“水印”。它可以直接将答案显示在考生的屏幕上,避免使用外置设备接收答案。所以,只要第二机位无法拍摄到考生屏幕,考生就可以明目张胆的照着屏幕上出现的答案作答。 ETS 明显对此有所防备,ETS 官方对第二机位的要求非常明确:第二机位距离考试电脑一臂距离;考生上半身、双手、鼠标(触控板)、键盘、和屏幕必须全程入镜。 第二机位放置距离考生电脑较近 考生屏幕在第二机位中全程保持可见 显而易见,一旦“屏幕全程入镜”,考官势必可以看见屏幕上显示的答案!所以,使用“字幕”或“水印”的考生必须“卡机位”:将第二机位的位置尽量放远,并调整角度,使得第二机位只能拍到笔记本屏幕的外侧边缘。 但是这样做其实并不符合 ETS 对第二机位的摆放要求。所以使用“字幕”或“水印”的保分机构会给学生一些常见的说辞,比如: 这样摆放是没问题的,大家都这样放。 监考不会要求你重新布置第二机位的。 即使第二机位不合规,你也是可以正常出分的。 等等、等等…… 可事实真的是这样吗??? 下面请将自己代入监考视角,看看以下这两组摆放方式。 符合ETS标准的第二机位位置 “卡机位”摆放的第二机位位置 故意将手机放远,加上刻意避免露出屏幕内容。这简直是将“我要作弊了”这五个烫金大字贴在考生脸上,但凡是稍有经验的监考立刻可以觉察出异样。这又引出了下一个问题…… 监考真的不会要求考生调整第二机位的角度吗? 请再次将自己代入监考的视角,试想一下: 如果考生的桌面上有另一部手机,你是否会让考生将手机放在远处? 如果考生在考中明显东张西望,你是否会让考生再次展示周围环境? 如果考生的桌面或考试房间不符合考试规范,你是否会让考生调整? 答案显然是Yes、Yes、and Yes! 监考的目的就是确保考试环境和考生行为符合考试守则,怎么可能对如此明显不符合要求、如此可疑的行为、如此刁钻的摆放角度,不加以制止或者修正呢?完全不符合常理! 为了给这个问题盖棺定论,我们来看看 ETS 是怎么说的: 来源:ETS官网(点击图片查看原文) On test day, the proctor will guide you to the […]
纯物理考生发给机构的最后一张照片
纯物理考生发给机构的最后一张照片 对于希望提升竞争力的申请者,GRE无疑是斩获offer的利器。 各种打着“物理”旗号的“无伤通关攻略”也层出不穷。Critical Thinking抛之脑后,最后让ETS永久保留了自己清澈单纯的容颜和考试中手持手机的照片。 以下是某位来咨询考生的“GRE拍照失败经历”。争得该生同意后,ELPIS详细的记述了整个过程,以提供另一种声音给大家做参考。 拍照→切APP→发送→等待→填答案… 拍照→切APP→发送→等待→填答案… 前两题出乎意料的顺利嘛!虽然步骤繁多,即便紧张,哪怕心慌,可只要想到咬牙坚持2小时,就能换来一份硬通的名校敲门砖,值了! 可正当考生打算将第三题拍照时,考试软件即刻被关闭。考生握着手机的右手悬空僵持着不敢移动半分,心也提到了嗓子眼。不久,proctor给他发来了如图所示的那一段话: “I’m an Intervention Specialist…” (我是考试介入专员) “You have been looking off screen to your right…” (你一直在看向屏幕外右侧) “Show me what are you looking at….” (给我看看你在看什么) 此时考生左手搭在键盘上,右手拿着手机。若按照proctor指示将笔记本向右转,后果绝对不堪设想:永久记录+禁考大礼包即将被考生签收! 学生头脑一片空白,只能寄希望于机构可以帮助他绝境逢生。就冒si再拍一张吧,至少让机构知道发生了什么。 考生甚至没来得及发送最后一张照片,proctor的声音就从扬声器中悠悠传来:Could you please show me both of your hands? And you whiteboard please. 这几乎断绝了考生所有的操作空间,考生的心理防线终于在这一刻碎掉,他本能的跟随proctor指示用左手去拿白板,想尽量拖延时间直到有个好的对策。 “Both hands, PLEASE!” 考官用力念出please这个单词,不是出于礼貌,而是不耐烦。阅人无数的proctor自然清楚考生的伎俩,proctor只想抓一个现形。 考生万念俱灰,慌乱无措下用拿着手机的右手把笔记本合盖(左手还拿着白板)。 好不容易缓过心情后,一个严重的问题又让刚跳起来的心跌回谷底:右手盒盖的时候,屏幕上方的摄像头是否拍到了手机?不确定,因为过于紧张,不记得具体是如何抬手合盖。 考生正焦急不安的等待ETS的宣判……
纯物理的前世今生
论“纯物理”的前世今生 拍照、切app、发送、等答案、看答案、填答案… 以上步骤重复数十次,恭喜你,获得技能:纯物理。 考前准备3部手机或者2部手机加一部iPad,考试安检后将这些电子设备以刁钻的角度在桌面上摆摊… 恭喜你,获得技能:新物理。 什么?!你说我在逗你?考试的时候怎么可以这样! 欢迎来到这个魔幻年代……. 这有创造力非凡的骗术,包装着最平庸的方法; 不负责机构哄骗考生怀着必胜的信念,又让考生踏入必死的战场。 为何情况会变成如今这样,请让ELPIS给出第一视角的叙述。 让我们坐上时光机(或者塔迪斯),重新戴好口罩,保持社交距离,准备跃迁回2020年4月份。 [cool-timeline layout=”one-side” skin=”default” date-format=”d F” show-posts=”10″ animation=”fade-up” icons=”YES” order=”ASC” story-content=”short”]
拆解某款来自国内小作坊的劣质远程
拆解某款来自国内小作坊的劣质远程 注:本文更偏向技术分析,如果需要less technical的文章,请参考这篇:《另一款劣质远程的分析》 远程的技术路线决定了隐蔽程度,工程水平决定了稳定性,黑客技术决定了抗回查能力。想要破坏考试软件的功能并不难,但若想完美绕过考试软件多管齐下的监管,可并不是一件容易的事:现代计算机每秒可执行成千上万条指令,而哪怕有一条监管指令没有被妥善处理,都可能埋下巨大隐患。所谓差之毫厘谬以千里大抵如此。 ELPIS的Tech Team组员均为在读或已毕业的北美TOP 5院校CS major,技术实力毋庸置疑。甚至一些同为CS专业的同学希望我们辅导Leetcode。而出于对同行的天然的好奇,我们当然也会对国内一些声称自己“有技术”的机构做一番详尽的田野调查。 ELPIS发现:在小红书等国内平台上,可以提供远程方案的机构上百上千,但是无论您选择哪一家,无论谁吹嘘自己有何种“独门技术”,您最后所使用的远程软件必定是其中3、4个之一。 究其原因,国内保分机构几乎没有门槛:不需要你是真正考过标准化考试的留学生、不需要你是技术过硬的计算机安全专家、不需要你是常年接触英文的双语者。因此,几乎没有机构有能力自研任何黑客级别的程序,甚至,机构本身都并不了解自己用的远程是何原理。所以,机构只能依赖技术提供商提供可用的远程软件。国内提供远程技术的提供商有3、4家。所以无论您最后与哪个机构合作,得到的无非是这3、4种远程之一。 那国内远程的技术到底如何呢?我们来对其中一款进行逆向工程和拆解分析。 首先在隔离的、不联网的沙盒(Sandbox)环境中运行exe文件,在阻止它与服务器通信的同时,查看它创造的进程和线程的活动记录。 运行之后无事发生。推测是由于我们禁止远程软件联网,所以远程软件无法从服务器接收指令。我们探究一下在未联网时远程软件做了哪些基础的操作。 当我们打开沙盒的文件系统时,我们可以看见远程软件在C盘Program Files中创建了一个名为Files的文件夹,并把自己安装进去。同时一起安装的还有一个自启动脚本,负责在电脑每次重启的时候将远程软件自动打开。这种自动方式让ELPIS梦回20年前。ETS只要稍微检查一下自启动软件名单,这款远程必然暴露无遗。 接下来我们给它开通网络权限,让它可以跟服务器通信。但我们会时刻监控网络流量,发现远程软件与服务器完成握手后就切断链接。 我们发现这款远程调用了Crypto库,也就是说软件可能以某种方式加密了自己和服务器之间的通信内容。但是,很快我们在这款远程软件的安装目录内找到了Setup.key这个文件。相当于远程软件的确是加密了,但是钥匙就放在旁边。当然了,我们并不关心软件和服务器之间到底说了什么,我们只关心ETS可能会如何识别这款远程软件,所以就不浪费时间解密了。 我们直接在Task Manager中找到这款软件软件的进程。如果我们可以找到,ETS也一样可以找到。ETS和我们不同的是,ETS会对可疑进程创建mini dump,相当于把进程内的内存信息“倒”出来,留做后续分析使用,而我们现在做的事情是实时的分析,本质上殊途同归。为了更贴近ETS的分析策略,我们也对其创建mini dump,留做后续分析使用。 现在开启debugger模式,重新打开exe文件,在进程刚刚被创建时就会被debugger挂起(suspend),相当于给进程施加了定身术。这样我们就可以近距离观察进程是如何一步步执行的,方便我们分析PE文件结构,以及查看它导入的DLL和API函数有哪些。 可以看出,它采用了UPX加壳技术,但是并没有什么卵用。通过PEiD和gdb分析后,我们很轻易的就找到了真实程序的起始点。虽然这部分对考试安全性没有什么影响,但是这种“加壳但又没完全加”的行为,相当于“化妆但是只化一半脸”,不太确定是技术不过关还是粗心大意。 有趣的是,我们发现在这款远程软件执行时会出现报错。如果您是这款远程的作者,如果您看到了这篇文章,麻烦改一下您的程序,谢谢。另外,我们看见了您写的“作者版权所有 请尊重并使用正版”,我们保证绝不会使用这款远程的!并推荐您也先别用了。 言归正传,找到程序入口点后,我们只需要去内存里,恢复IAT和程序原本的PE结构,就可以看到DLL导入路径和API函数。 结合程序调用DLL和API名单,通过GhiDra反编译工具,我们可以明显看出这是一个远控软件。因为它调用了大量跟图形界面相关的函数,其中有get/set函数负责获取屏幕信息,capture screen获取屏幕内容,最后通过Windows GDI提供的Desktop Dulication方法对屏幕进行捕获。以下是相关函数的反编译伪代码,直接取材自Ghidra反编译工具: 其实到了这一步,基本可以直接宣判死刑了。因为ETS会搜集考生计算机中进程的dump信息。计算机专业的同学应该清楚,dump信息里包含了线程信息、堆栈数据、全局变量、加载库等等丰富的信息。假设ETS对此稍微进行分析,该远程的真实意图将被一览无遗。 在这里,我们可以看到它对ETS的考试软件进行了code injection攻击:通过向ETS考试软件软件中强行注入原本不存在的代码,使得ETS考试软件的某些功能被强制关闭。诸如此类操作会像“电子推土机”一样在系统中留下大量痕迹,甚至被当场抓获。这是一种异常简单粗暴的解决方案,毫无优雅可言。如果做一个真实世界的类比,就好像有人强行把烧汽油的车改成烧煤块儿,并指望交警看不出来。 在本文的结尾,我们会附上根据反编译得来的这款远程软件关于code injection部分的伪代码(见附件)。有较强计算机基础的、对此感兴趣的同学可以自行查阅。但请注意,这并非是完整的code injection流程,ELPIS尽量在不违背该远程软件作者的“版权提醒”的前提下,给大家展示。 我们再接着探究一下,它为了隐藏自己做了什么样的努力。经仔细研究,ELPIS发现它居然根本就没试图去隐藏自己!除了把自己的进程名字改成和系统进程同名外,没做任何其他的事情! 这让我们感到非常意外!因为这代表这款远程的设计思路和我们的设计思路从根本上背道而驰。 ELPIS的思路是:让ETS找不到木马的踪迹,从而无法搜集任何信息,进而无法被复查 这款远程的思路是:ETS可以看见我的本体,但是我赌ETS不会对我进行分析 看到这里,我们恍然大悟为什么国内的远程总是集中暴雷。因为如果只有少数考生使用这款远程时,ETS即使可以搜集到关于该远程的信息,也很可能因为样本量的不足而将它“误判”成正常软件,从而不针对它进行分析——毕竟,ETS在大多数情况下并不会实时的分析考生电脑上所有进程的数据。但是一旦使用该远程的人数增加,它的运行特征就会被识别。想象一下,ETS看着100个考生的计算机中都有一个莫名其妙的进程,在考试中做着一些和“获取电脑屏幕显示内容”有关的事情。这,即便从常理想,也很难通过回查。而一旦ETS针对这款远程的特征回查,所有在考试中有过此类特征的考试电脑都将会被取消成绩。这就是集中暴雷的原因! 如果所谓的远程软件都是这种水准,暴雷就并不奇怪了。甚至,不爆雷反而很奇怪。因为其实这款远程的内部信息对ETS而言是完全可见的——它并不“抗回查”,它只“赌自己不被查”。 况且,ETS有类似于运动员飞行检查的“尿检”机制。虽然大多数情况下,考试软件并不会实时的对电脑上所有进程进行详细检查。但是一些情况下,电脑信息会被事无巨细的实时审查。ELPIS管这种机制叫“强检测”:不同于普通的,在考试当中进行的“弱检测”,“强检测”会检查电脑运行时(runtime)的所有细节,并将不合格的考生直接踢出考试。 所以最坏情况下,该远程会被系统直接识别,导致考试无法继续甚至禁考。 ELPIS对这款远程软件的评价是:emmmmm… 不合格。 附件:Code Injection伪代码 void FUN_004010d0(void) { wchar_t *_Dst; wchar_t […]