@xrlin 按住 SHIFT 点重启、 BOOTICE 试过没？

如果硬盘上还有 Windows 可以启动，按 SHIFT 再点开始菜单的重启，可以选择进入 UEFI 固件设置。也可以用 BOOTICE 设置下次重启时进入 UEFI 固件设置。

BIOS 有问题的话，可以先尝试一下恢复默认设置。
以前就碰到过一台联想 G 系列的，玄学问题，明明选择了 EFI 模式启动，却不能设置 EFI 启动项。恢复一下默认设置，就正常了。

LZ 只是想装 Win7 的话，可以把 Win8/10 安装盘里的 EFI 文件夹拷过来试试。
不过 UEFI 下启动 Win7 ，需要 BIOS 里开启 CSM （或者叫做 Legacy Support ），否则不能启动（实测在 Windows Logo 处卡住不动）

@mason961125 [email protected]

@mason961125
我还是觉得把文件数据放进注册表的行为太奇怪。
里面还有 svchost.exe 等内容。
看上去，好像是要用从这里释放 dll ，然后拉起 svchost.exe ，假冒正常系统服务干坏事。
驱动的数字签名证书也是被吊销的。

你有愿意逆向分析的朋友么？我从一台中招机上导出过那个注册表项。

貌似不少中招机上，那个注册表项里原本放着文件内容的 REG_BINARY 值都变成 1 字节了。这个键值在木马自我保护范围内，所以它被改应该是木马自己的行为。

@mason961125
哎……学生好欺负啊。

昨天 ClearVirus 都出 3.0 了，不知道现在是不是又更新了。

不过这个驱动的行为让人叹为观止，居然还在注册表里藏文件！？
电信这是要干啥？或者说，这破 rootkit 驱动果真是电信的杰作？

我去，还打错了一行路径：
C:\Windows\System32\drivers\dump?.sys
应该是
C:\Windows\System32\drivers\dump?.tmp

貌似这玩意还想自我清除……
感觉差不多快变无头案了。

求大神分析！

还在蓝屏的，可以用 WinRE 删掉:
C:\Windows\System32\drivers\dump_*.sys
C:\Windows\System32\drivers\dump?.sys
WinRE 挂掉、也没有其他恢复环境可用的，可用用 PCHunter 先还原内核中做的手脚：
内核-系统回调： CreateThread 、 Shutdown 两个项目，红色，未知模块
内核-文件系统：微端口过滤器， 4 条，红色，未知模块（看上去用来隐藏文件的）
内核钩子-FSD ：红色，未知模块，右键恢复（貌似是用来拒绝访问自身文件的）
内核钩子-Object 钩子：红色，未知模块， hhive （貌似是用来隐藏注册表键值的）
然后找到那两个文件，都移动出去，或改个名；然后进注册表 HKLM\SYSTEM\CurrentControlSet\services 下面找到对应的项目，把 Start 值改为 4 （禁止启动）。

蓝屏是一个 rootkit 驱动导致的，已经传 VirusTotal
https://www.virustotal.com/en/file/094921402ccddecfbf33791faf9b5514844e2e93c0e7da7cc3a99c699adaf773/analysis/

如果是 Android 的话：
1.adb shell 、 adb pull ……
2.Sigma-RT Total Control （需要 root ）
3.TeamViewer Host （貌似也是需要 root ）
还可以考虑 OTG （可以买支持 OTG 的 Hub 来用）接上鼠标键盘

暂时只想到这么多。

@easycloud
还是先明确概念吧……虽然我也不是很懂这块。

UEFI 有自己的“启动序列”，即使是同一块硬盘上，也可以用 N 个引导文件路径创建出 N 个引导项。
如果只装了 Windows ，可能 Windows Boot Manager 就是唯一的一项了，但并不代表一切都交由它处理。

BIOS 则只能简单地设定不同设备的启动顺序，同一个设备能有 N 个启动项在 BIOS 里是做不到的。没错，有办法实现类似的效果，比如给硬盘安装 grub2 ，这个引导器的功能很强大，可以 chainload 其他引导器，或者启动各种操作系统；但 BIOS 里能看到的，还是只有“某块硬盘”这一个项目。

使用 Legacy 写入？写入了也没用的。很多激活工具会写入活动分区的引导代码，好让修改过的 grub4dos 先完成伪造 SLIC 的目的，再 chainload bootmgr 。但 UEFI+GPT 环境里，并没有活动分区这个概念，引导代码也压根就不会被执行。
所以，使用 Legacy 写入不会在 UEFI 下触发 LZ 碰到的问题，顶多就是把 C 盘或 ESP 分区文件系统写残了（虽然 UEFI 还没普及时我也没听说过有这种事情）。

根据我的经验，激活工具干的事情如下：
1.拷贝 windslic.efi 到 ESP 分区
2.修改 UEFI 启动序列（保存在 NVRAM 里），添加一项 WindSLIC ，并把它调到最优先。
的确有一些主板，在设置了快速启动后，按 DEL 、 F12 等都无效了。所以，我觉得第一种可能是： UEFI 固件直接执行了启动序列第一位的 WindSLIC ，然后，正巧 WindSLIC 在这些主板上不工作，运行陷入了死循环，于是就有了卡在 LOGO 处，按什么键都没用的情况。
但也许是另一种情况？就是这个主板的 UEFI 固件在处理增加启动项目时有 Bug ，哪怕添加的不是 WindSLIC 而是别的什么东西，也会在重启时卡住不动。


https://forums.mydigitallife.info/threads/29740-WindSLIC-UEFI-SLIC-injector/page66
#660 这一楼有一个修改过的 WindSLIC （某些主板已经有一个 SLIC ，这个修改版 WindSLIC 会把已存在的 SLIC 改名为 OEMx ，避免重复）。
@lygmqkl 楼主如果还有折腾的兴趣，可以试试用它替换掉微软的 bootmgfw.efi ，这样可以避免修改 NVRAM 。也许对比直接运行激活工具的情况，就可以分析一下了？
替换步骤：
1.WIN+R 运行 diskpart 。
2.使用 list disk 命令列出磁盘。
3.一般内置硬盘是磁盘 0 ，所以用 sel disk 0 命令选中它。
4.使用 list part 命令列出分区。
5.找到系统分区，使用 sel part X 命令选中它(X 为系统分区的编号)
6.使用 assign letter S 命令分配盘符 S:
7.把 S:\EFI\Microsoft\Boot\bootmgfw.efi 重命名为 bootmgfw.bak ，然后用 windslic.efi 复制过来，重命名，顶替 bootmgfw.efi 。

@easycloud
UEFI 的确有“闪速启动”之类功能，导致来不及在开机时按键进入 UEFI 配置界面。不知道 @lygmqkl 有没有开启类似的选项？
这样的话，也许就可以解释为 UEFI 固件忽略了 F12 等按键，但启动到执行 EFI 文件时卡住了。

但是，我以前就有过使用激活工具后重启，按什么键都没反应的经历，当时并没有设置过快速开机之类的选项。而且，在用激活工具之前，可以按 F12 等键打开启动菜单、进入 UEFI 配置界面，用了以后就不行，我觉得这应该能叫做 Bug 了吧。

而且 LZ 用的是 Win7 ……不是 Win10 ，本来 Win7 就不是完全支持 UEFI 的，需要开启 CSM 才能正常完成启动。

@easycloud 这个应该是 UEFI 固件的 Bug ，楼主不是说了么， F12 菜单都出不来了。
其实，有点像三星启动 Linux 变砖那种情况。

建议 LZ 进 BIOS 调一下引导模式，从 UEFI 调回 Legacy BIOS （可能有不同的名字，比如 LEGACY 、 Legacy Support 、 Enable CSM 等等）。
如果无论怎么调都是插上 SSD 就不能动，就只能把 SSD 挂到别的机器上去了。
最新的傲梅分区助手可以在 WinPE 下把 GPT 转回 MBR 。转完后，设置一下活动分区和引导，启动 Win7 ，各种“软激活”就都能用了。

用了小马吧？
小马用的是 WindSLIC ，而且是在 NVRAM 里新加了一个启动项。
多数主板都没问题，少数主板就有楼主的问题：不拔硬盘，无法启动，甚至进不去 CMOS 。

Win7 专业版可以用 KMS ，旗舰版不行，必须模拟 SLIC ，再导入证书和 key 。
如果坚持用 UEFI 引导+GPT 分区表，就必须得用 WindSLIC ；要么就放弃 UEFI 引导，把分区表转回 MBR ，改用 Legacy BIOS 引导，然后各种“软激活”工具一般都比较靠谱。

@acess 而且，似乎不能执行 owner （或者是 group ？）和当前进程 UID 不符的文件（系统自带的文件应该就除外了）
打错……

在自己的手机（某国产骁龙 820 机器，原厂定制过的 Android 6.0 系统）上试了一下，好像不能利用？
shell@android:/xxx_path $ echo NORMALFILE > normal
shell@android:/xxx_path $ echo BADFILE > bad
shell@android:/xxx_path $ ./dirtycow normal bad
warning: new file size (8) and file old size (11) differ

size 11


[*] mmap 0xf7355000
[*] exploit (patch)
[*] currently 0xf7355000=4d524f4e
[*] madvise = 0xf7355000 11
[*] madvise = 0 1048576
[*] /proc/self/mem -1048576 1048576
[*] exploited 0xf7355000=4d524f4e
shell@android:/xxx_path $ cat normal
NORMALFILE
shell@android:/xxx_path $ cat bad
BADFILE
shell@android:/xxx_path $

文件内容没变啊😂不能利用？

用另一份 exploit 代码，等了快几分钟才跑完，好像也没效果。

另外这台机的 SELinux 似乎很变态啊， adb 里 /data/local/tmp 设置可执行权限无效， chmod 完 ls -l 一看还是没有 x ，不能执行；装了个终端模拟器，建了个目录，终于能执行了，不过不能打开 /system/bin/run-as 文件😂
而且，似乎不能执行 owner （或者是 group ？）和当前进程 UID 不符也是不能执行的（系统自带的文件应该就除外了）

Debian 上测试倒是可以利用。

@shoaly 以前碰到过从 Ubuntu 重启回 Windows 蓝牙就用不了的怪问题，不过和你不一样，是在设备管理器里就显示惊叹号，无法启动设备。装了 Intel 官网的各种版本的驱动都不行。
后来发现在设备管理器里 Generic USB Hub 属性中重置一下集线器居然就好了。