没搞清楚 LZ 说的……
首先……用户名密码怎么生成非对称密钥对？

还有，暴力破解 Hash 算法难道容易么？
能暴力破解，是因为用了彩虹表等手段（按我的理解它顶多算个体积超小的高效“字典”，制作它时还是需要付出苦力的，而且能覆盖的密码长度也很有限）
有时候用户的密码是 123456 之类容易猜的，或者已经通过别的途径泄露了，所以才有“撞库”之类手段，这不表示 hash 算法不安全吧。

@snsd 文件可能隐藏了……可用空间有 24GB 么？

桌面崩溃之类问题，我说不好算不算微软的锅……

看上去有不少桌面崩溃是流氓应用试图把自己锁定为默认导致的。据说微软在 Win8.1 起把原来设定默认值的 API 作废了，Win10 还加了校验值……
感觉微软是想管管迅雷看看之类的应用，但没管住。

@snsd
稍微回忆一下……其实恢复分区在 BIOS+MBR 时代就被品牌机广泛使用了…… Win7 时微软搞了一个镜像恢复，不过没见几个人用，不能保留个人文件，还不如自己 GHOST。
微软甚至还搞过一个还原卡一样的功能 PC Safeguard，不过后来砍掉了（现在我也不觉得还原精灵之类东西适合个人用，数据重启就消失不方便，可能被穿透，而且漏洞补丁不打、不保护用户的数据。我觉得这玩意只适合公用电脑用）
Win8 起微软终于有点开窍了，搞了一个官方的 push button reset。

出厂的系统虽然可能装了一堆用不着的鸡肋，但至少驱动和自带软件都是调试好的。
微软针对这个搞了一个 Signature 系列，不过我好像还没怎么听说过……

@snsd
那个不是空分区吧，应该是出厂的系统镜像。

管家卫士是不是会偷隐私我不清楚，但锁定默认浏览器（包括 UC 浏览器这样的自我保护）、锁定主页之类的，个人觉得只会给用户找麻烦（怀疑是各种 explorer.exe 崩溃、黑屏的一大直接原因），最好关掉。

@Totato5749
http://bobao.360.cn/learning/detail/3779.html
http://www.freebuf.com/articles/system/109096.html
要不是 Win10 没事蓝个屏，中了可能都没感觉呢……

首先……作为被 BitLocker 的 AES-XTS 坑过的人，同情一下 LZ （ Win10 在 1511 版加了新加密方式，不兼容老系统，结果老系统打开新加密盘居然报密码输入错误，而不是报不兼容，真是误导）。

还有，Windows 的管理员账户权限很大的，别看动不动拒绝访问什么的……你至少可以直接获取所有权，然后改成允许完全控制。
实际上感觉和 root 也差不了太多了（笑）。
比如 PCHunter，直接用驱动在内核层里操作，操作文件、注册表，都无视权限……（貌似这类驱动有个绰号叫“穿越驱动”，360、腾讯他们都有做这个）

反正…… LZ 如果真的注意安全，确实应该把控好管理员账户，最好干脆别让别人用你电脑。

@acess 果然……改了这个值只是关掉主动探测，并不是完全关掉 NCSI ……微软只说不建议关这个。

@hantsuki
看上去好像是有 2 个开热点的接口……一个是 hostednetwork，可以用 netsh 命令开；另一个虚拟网卡名字里写的是 WiFi Direct。不过点开属性，都是 vwifimp.sys。
我甚至搞出过控制面板里显示开出两个热点的情况……实际上还是只开了一个热点，不知道微软怎么搞的。

检测公网，可能是 NCSI ……不知道改一下注册表值能不能关掉，网上搜到的位置是：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\EnableActiveProbing

哎…… dism restorehealth 又炸了，Known issue：
https://social.technet.microsoft.com/Forums/en-US/56112e60-53eb-4a26-b972-ff0480b35b54/dism-tool-doesnt-work-with-windows-10-professional-creators-update?forum=win10itprosetup

@snsd
那个 COM Surrogate 只是个替死鬼进程，需要用 Process Explorer 定位到那个进程，然后 CTRL+D，显示加载的 dll，看看里面跑的到底是啥。
https://blogs.msdn.microsoft.com/oldnewthing/20090212-00/?p=19173
磁盘 100%的话，也有可能是 AHCI 驱动有关的问题，网上有改注册表的办法，不过也有人说没用。

哎……现在说也迟了。

@wevsty
我一直在说 File System Minifilter Driver，您说的却是 File System Filter Driver，可能我说的和您提到的压根不是一个东西……😂
看上去 File System Minifilter Driver 是一种新的、更灵活的过滤驱动，微软希望用 File System Minifilter Driver 来取代老式 File System Filter Driver ……

@wevsty
又打开 Process Monitor 试了一下……
看上去 Minifilter 还是可以拦截 IRP_MJ_WRITE 的？ Process Monitor 中显示的路径确实是\Device\Harddisk0\DR0
软件显示的内核调用栈如下：
FLTMGR.SYS!FltpPerformPreCallbacks
FLTMGR.SYS!FltpPassthroughInternal
FLTMGR.SYS!FltpPassThrough
FLTMGR.SYS!FltpDispatch
ntoskrnl.exe!IopSynchronousServiceTail
ntoskrnl.exe!NtWriteFile
ntoskrnl.exe!KiSystemServiceCopyEnd

我当时用 gdisk 打开了硬盘（\\.\PhysicalDrive0 ），稍微修改了一下 GPT 分区表，然后让 gdisk 写入了修改。

我还尝试过用 PCHunter 摘除 PROCMON23.SYS 的微端口过滤器，不过看上去在我摘除过滤器后这个驱动又重新把它注册回去了，所以没能通过这个方法验证是不是微端口过滤器拦截了 IRP_MJ_WRITE。
搜了一下，找到了 MSDN 上关于 Minifilter 的文档：
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/ifs/filter-manager-concepts
看上去 Windows 搞了一个 Filter Manager 专门来处理过滤、拦截有关的事情……

@wevsty
Minifilter 看上去确实可以拦截到 IRP_MJ_CREATE ……这一点一开始我理解错了。

开了 Process Monitor，它的确拦截到了打开\Device\Harddisk0\DR0 的 IRP_MJ_CREATE。
PCHunter 的文件系统->微端口过滤器可以看到属于 PROCMON23.SYS 的项目，包括 IRP_MJ_CREATE PreFun、IRP_MJ_CREATE PostFun 等。

不过，调用链好像和您说的不太一样？
Process Monitor 的内核调用栈看起来是这样的：
FLTMGR.SYS!FltpPerformPreCallbacks
FLTMGR.SYS!FltpPassThroughInternal
FLTMGR.SYS!FiltpCreate
ntoskrnl!IopParseDevice
ntoskrnl!ObpLookupObjectName
ntoskrnl!ObOpenObjectByNameEx
ntoskrnl!IopCreateFile
ntoskrnl!NtCreateFile
ntoskrnl!KiSystemServiceCopyEnd
下面就是用户层了：
ntdll!NtCreateFile
KernelBase.dll!CreateFileInternal
KernelBase.dll!CreateFileW
KernelBase.dll!CreateFileA
……

结合这里的一张描述 Filter Manager 的图……
http://bobao.360.cn/learning/detail/3403.html
猜测到这里可能只是执行了 Minifilter 的 PreOperation，还没真正给下层驱动发送 IRP ？

@wevsty
其实还是怪我没说明白……
我说被绕过的是文件系统过滤驱动，不是磁盘设备过滤驱动。它可能拦截不到打开磁盘设备的 IRP 吧？

@wevsty
我自认为大概理解你说的……能“绕过”，说明那个 filter driver 考虑不严谨。
好比一个柜子上有好几个抽屉，其中一个抽屉上锁了，但其实只要抽掉上面没上锁的抽屉，就会发现里面是相通的……

那个 minifilter 是一个恶意 rootkit 驱动，它的目的大概也只是躲过 360 等杀软的扫描而已吧……它还触发了 PatchGuard。
可能写这个 rootkit 驱动的家伙不知道从哪里扒来了代码，只是抱着能跑就好的态度草草了事的。

@mozutaba
LZ 觉得，UAC 管不了“刷量”，这压根不是它的职责范围。

按 LZ 的理解，UAC 的职责范围差不多就是“一个标准用户中毒后系统仍然毫发无损，删除中毒账户就可以重新开始”，至于用户自己作死导致数据丢失、被盗等，那不是 UAC 要管的事儿。
但 UAC 可以帮助用户把关系统管理员特权，可能确实能帮助用户阻挡最危险的内核 rootkit 等威胁。

至于刷量问题，如果软件支持 per user install，那安装的时候其实可以不弹 UAC。
如果不是现在的流氓安装起来都需要管理员特权，我觉得刷安装量是可以完全不打搅 UAC 的……
而且，那个灰色软件可以不刷安装量，只刷点击量啊，这样就不会触发 UAC 了吧……

@ahhui 微软的理想状况是用户看到软件乱弹 UAC 就各种吐槽软件开发商，然后开发商受不了就去改进，适应 UAC。
但实际状况是大家一起吐槽微软的 UAC 就是个逗逼机制，纷纷把它完全关掉。