V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  acess  ›  全部回复第 96 页 / 共 113 页
回复总数  2242
1 ... 92  93  94  95  96  97  98  99  100  101 ... 113  
2017-05-04 01:48:03 +08:00
回复了 jimyan 创建的主题 Windows Norton 杀毒软件购买了两年的还有 6 天就过期了
2017-05-04 01:38:42 +08:00
回复了 Ko7ut 创建的主题 Windows Bitlocker 的“备份恢复密钥”功能太不安全了吧
首先……作为被 BitLocker 的 AES-XTS 坑过的人,同情一下 LZ ( Win10 在 1511 版加了新加密方式,不兼容老系统,结果老系统打开新加密盘居然报密码输入错误,而不是报不兼容,真是误导)。

还有,Windows 的管理员账户权限很大的,别看动不动拒绝访问什么的……你至少可以直接获取所有权,然后改成允许完全控制。
实际上感觉和 root 也差不了太多了(笑)。
比如 PCHunter,直接用驱动在内核层里操作,操作文件、注册表,都无视权限……(貌似这类驱动有个绰号叫“穿越驱动”,360、腾讯他们都有做这个)

反正…… LZ 如果真的注意安全,确实应该把控好管理员账户,最好干脆别让别人用你电脑。
2017-05-04 01:15:57 +08:00
回复了 Blazings 创建的主题 Windows 天天听到在说 BUG10 的, 到底是哪里的 BUG
@acess 果然……改了这个值只是关掉主动探测,并不是完全关掉 NCSI ……微软只说不建议关这个。
2017-05-04 01:11:05 +08:00
回复了 Blazings 创建的主题 Windows 天天听到在说 BUG10 的, 到底是哪里的 BUG
@hantsuki
看上去好像是有 2 个开热点的接口……一个是 hostednetwork,可以用 netsh 命令开;另一个虚拟网卡名字里写的是 WiFi Direct。不过点开属性,都是 vwifimp.sys。
我甚至搞出过控制面板里显示开出两个热点的情况……实际上还是只开了一个热点,不知道微软怎么搞的。

检测公网,可能是 NCSI ……不知道改一下注册表值能不能关掉,网上搜到的位置是:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\EnableActiveProbing
2017-05-04 00:40:00 +08:00
回复了 Blazings 创建的主题 Windows 天天听到在说 BUG10 的, 到底是哪里的 BUG
2017-05-04 00:38:45 +08:00
回复了 Blazings 创建的主题 Windows 天天听到在说 BUG10 的, 到底是哪里的 BUG
@snsd
那个 COM Surrogate 只是个替死鬼进程,需要用 Process Explorer 定位到那个进程,然后 CTRL+D,显示加载的 dll,看看里面跑的到底是啥。
https://blogs.msdn.microsoft.com/oldnewthing/20090212-00/?p=19173
磁盘 100%的话,也有可能是 AHCI 驱动有关的问题,网上有改注册表的办法,不过也有人说没用。

哎……现在说也迟了。
2017-04-30 21:43:38 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@wevsty
我一直在说 File System Minifilter Driver,您说的却是 File System Filter Driver,可能我说的和您提到的压根不是一个东西……😂
看上去 File System Minifilter Driver 是一种新的、更灵活的过滤驱动,微软希望用 File System Minifilter Driver 来取代老式 File System Filter Driver ……
2017-04-30 21:38:11 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@wevsty
又打开 Process Monitor 试了一下……
看上去 Minifilter 还是可以拦截 IRP_MJ_WRITE 的? Process Monitor 中显示的路径确实是\Device\Harddisk0\DR0
软件显示的内核调用栈如下:
FLTMGR.SYS!FltpPerformPreCallbacks
FLTMGR.SYS!FltpPassthroughInternal
FLTMGR.SYS!FltpPassThrough
FLTMGR.SYS!FltpDispatch
ntoskrnl.exe!IopSynchronousServiceTail
ntoskrnl.exe!NtWriteFile
ntoskrnl.exe!KiSystemServiceCopyEnd

我当时用 gdisk 打开了硬盘(\\.\PhysicalDrive0 ),稍微修改了一下 GPT 分区表,然后让 gdisk 写入了修改。

我还尝试过用 PCHunter 摘除 PROCMON23.SYS 的微端口过滤器,不过看上去在我摘除过滤器后这个驱动又重新把它注册回去了,所以没能通过这个方法验证是不是微端口过滤器拦截了 IRP_MJ_WRITE。
搜了一下,找到了 MSDN 上关于 Minifilter 的文档:
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/ifs/filter-manager-concepts
看上去 Windows 搞了一个 Filter Manager 专门来处理过滤、拦截有关的事情……
2017-04-30 18:27:44 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@wevsty
Minifilter 看上去确实可以拦截到 IRP_MJ_CREATE ……这一点一开始我理解错了。

开了 Process Monitor,它的确拦截到了打开\Device\Harddisk0\DR0 的 IRP_MJ_CREATE。
PCHunter 的文件系统->微端口过滤器可以看到属于 PROCMON23.SYS 的项目,包括 IRP_MJ_CREATE PreFun、IRP_MJ_CREATE PostFun 等。

不过,调用链好像和您说的不太一样?
Process Monitor 的内核调用栈看起来是这样的:
FLTMGR.SYS!FltpPerformPreCallbacks
FLTMGR.SYS!FltpPassThroughInternal
FLTMGR.SYS!FiltpCreate
ntoskrnl!IopParseDevice
ntoskrnl!ObpLookupObjectName
ntoskrnl!ObOpenObjectByNameEx
ntoskrnl!IopCreateFile
ntoskrnl!NtCreateFile
ntoskrnl!KiSystemServiceCopyEnd
下面就是用户层了:
ntdll!NtCreateFile
KernelBase.dll!CreateFileInternal
KernelBase.dll!CreateFileW
KernelBase.dll!CreateFileA
……

结合这里的一张描述 Filter Manager 的图……
http://bobao.360.cn/learning/detail/3403.html
猜测到这里可能只是执行了 Minifilter 的 PreOperation,还没真正给下层驱动发送 IRP ?
2017-04-30 16:55:58 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@wevsty
其实还是怪我没说明白……
我说被绕过的是文件系统过滤驱动,不是磁盘设备过滤驱动。它可能拦截不到打开磁盘设备的 IRP 吧?
2017-04-30 16:51:28 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@wevsty
我自认为大概理解你说的……能“绕过”,说明那个 filter driver 考虑不严谨。
好比一个柜子上有好几个抽屉,其中一个抽屉上锁了,但其实只要抽掉上面没上锁的抽屉,就会发现里面是相通的……

那个 minifilter 是一个恶意 rootkit 驱动,它的目的大概也只是躲过 360 等杀软的扫描而已吧……它还触发了 PatchGuard。
可能写这个 rootkit 驱动的家伙不知道从哪里扒来了代码,只是抱着能跑就好的态度草草了事的。
2017-04-30 16:46:30 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@mozutaba
LZ 觉得,UAC 管不了“刷量”,这压根不是它的职责范围。

按 LZ 的理解,UAC 的职责范围差不多就是“一个标准用户中毒后系统仍然毫发无损,删除中毒账户就可以重新开始”,至于用户自己作死导致数据丢失、被盗等,那不是 UAC 要管的事儿。
但 UAC 可以帮助用户把关系统管理员特权,可能确实能帮助用户阻挡最危险的内核 rootkit 等威胁。

至于刷量问题,如果软件支持 per user install,那安装的时候其实可以不弹 UAC。
如果不是现在的流氓安装起来都需要管理员特权,我觉得刷安装量是可以完全不打搅 UAC 的……
而且,那个灰色软件可以不刷安装量,只刷点击量啊,这样就不会触发 UAC 了吧……
2017-04-30 16:41:31 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@ahhui 微软的理想状况是用户看到软件乱弹 UAC 就各种吐槽软件开发商,然后开发商受不了就去改进,适应 UAC。
但实际状况是大家一起吐槽微软的 UAC 就是个逗逼机制,纷纷把它完全关掉。
2017-04-30 16:39:01 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@ahhui 我说 UAC “做得更多”确实可能产生歧义……我的意思并不是让 Windows 收窄未提权管理员用户的权限,而是说正规的开发者应该好好利用 UAC,在执行敏感操作时提醒用户,而不是像某些软件一样一双击就弹 UAC,不点“是”不给用。
我只是吐槽现在 UAC,正规软件弹,流氓也弹,加在一起,用户能感觉到的就是各种弹,弹个不停……所以很多用户最后只能麻木地点“是”,让 UAC 真的变成没用的东西了……

至于诱导用户关闭杀软之类的,UAC 和杀软都管不了那么宽……

@mozutaba 我觉得很多情况下程序确实不需要弹 UAC 也可以正常安装、运行,但可能是因为抄代码、偷懒等原因,再加上关闭 UAC 实在太容易,所以 UAC 才因为弹得太多而在用户眼中变成了没用的东西。

LZ 认为 UAC 有用的理由:如果恶意代码没有管理员特权,那在补丁打全的情况下,它也很难钻进 ring0、很难提升权限。
这样一来,安全软件依靠自己的高权限就可以轻松秒杀各种恶意代码,只要它能正确检测到恶意代码就可以了。但现在,ring0 的驱动木马、Bootkit 都泛滥了,杀软即使能和它们对抗,也是没完没了的……
至于用户自己的数据和隐私问题,也许可以举这个例子:UAC 虽然管不了一般的键盘记录器,但它可以挡住比较危险的内核级键盘记录器。
2017-04-30 16:04:16 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@ahhui
我已经打 Linux 下 /dev/sdX 的比方说明过了…… Windows 也允许用户态程序直接打开磁盘扇区。
至于 Everything 的确切工作原理,我也不太懂。但它能绕过内核里的 minifilter,是我亲眼所见的经验。
我说这些,只是想说明 Everything 干的事情已经超出了 NTFS 权限能管得着的范围……

我觉得 UAC 能起的作用明明可以比现在更大。因为滥用管理员特权的程序太多,导致用户提权点到麻木,这个状态是不正常的。正常情况下的确应该是用户看到 UAC 提示就警惕起来,无论是安装一个陌生软件,还是软件执行了一个敏感操作都应该警惕不是么?麻木地点“是”,这种状况是不正常的。
至于 HIPS 频繁弹窗……我觉得这可能是 HIPS 的规则不够完备,也可能说明了 HIPS 的局限性——程序已经跑在内存里,如果拦截敏感操作,你可能很难区分这是正常的行为,还是系统进程被注入劫持“黑化”产生的恶意行为。
2017-04-30 15:56:00 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@mozutaba 其实我觉得,如果对方真的是恶意碰瓷,用 360 可能也是一样的结局……可能只要有窗口弹出来提示有毒,对方就可以耍流氓,说杀软把文件搞坏了云云……
感觉卡巴在国内知名度也蛮高啊,难道他们不承认卡巴是杀软么……
2017-04-30 15:46:45 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@mozutaba 我是说,卡巴应该也可以改一下设置,让它别急着把文件杀掉,改成只提示下一步操作吧?这样就可以避免这种疑似碰瓷的问题了……
2017-04-30 15:45:44 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@ahhui 以前 IE 浏览器是最普及的,现在有开源的 Chromium、Firefox,各家都进来插一脚……
杨竞的解释就是出于兼容性考虑,通过开发插件覆盖市面上各种乱七八糟的浏览器很难,才做了内核里的监视驱动。
不过……我记得 Windows 已经提供了 WinSock 来在用户态实现这个功能,不知道迅雷为什么不用这个。
另外,WinSock 好像早在多年前就因为滥用问题广受诟病了(微软可能又会觉得这锅背得冤啊)……一直到现在,netsh winsock reset 仍然是修电脑必备技能😂
2017-04-30 15:40:14 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@ahhui 我觉得 Everything 的做法类似于数据恢复工具直接打开\\.\PhysicalDrive0 这样的磁盘设备(换成 Linux 上就是直接打开 /dev/sda 这样的块设备),其实已经超出 NTFS 权限涉及的范畴,所以系统才要求必须有管理员权限才能执行这种操作。
实际上就算 Everything 仍然依赖内核中的 NTFS 驱动,它也可以直接绕过文件系统 minifilter ……
2017-04-30 15:24:21 +08:00
回复了 acess 创建的主题 随想 知乎、UAC 和 Windows 安全
@ahhui Everything 需要提权才能工作,我觉得这是正常现象。如果它不需要安装服务,或者不需要弹 UAC 申请提权就能工作,那标准用户就可以装一个 Everything 来偷窥其他账户的文件了……微软不会犯这种低级错误。
1 ... 92  93  94  95  96  97  98  99  100  101 ... 113  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3659 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 34ms · UTC 04:42 · PVG 12:42 · LAX 20:42 · JFK 23:42
Developed with CodeLauncher
♥ Do have faith in what you're doing.