@wevsty
忘了说了……证书过期，签名不过期，这个也是我自己观察时就已经发现的现象，您说的那些其实没有超出我的预料……(不过我可能仍然对这块有一些误解)
我甚至还下载过 1999 年签名的 Win98 安装程序，文件 hash 算法还是 MD5，签名者是微软，系统现在仍然认为签名有效。

只是如果问我正确的数字签名验证应该怎么实现，实际上 Windows 又是怎么做的，我也不能一五一十地答上来。

反正天翼蓝屏事件那波，Windows 确实把没有时间戳、签名证书也早就过期了的驱动加载进了内核。这样一来，绕过 DSE 几乎是 0 成本了。

@changwei
最近碰到的 MBR Bootkit 让我觉得脊背发凉，因为我用电脑作死次数还是蛮多的……
这种技术居然已经泛滥到连刷广告的都在用了。
如果不是他们逗比搞出创建管理员账号、触发 Win10 PatchGuard 之类的大动静，我觉得很难感知系统已经有问题了。

@TakaLv 文件问题，我觉得可以参考目前安卓的 SD 卡，还有 iOS 的现状。
如果没有公共的“ SD 卡”，感觉多少会有点使用不便，传文件往往依赖云同步等机制(可能这反而是好事？防止设备丢失后数据跟着一起丢)，SMB 等各种经典局域网共享协议被架空(感觉苹果有私心，AirDrop 只支持他们自己家的设备)。
如果有一个公共的 SD 卡，那就会产生卸载不干净、文件放置混乱、一个应用中毒数据就可能被破坏 /窃取等风险;要缓解这个问题，需要开发者规范自己的行为，用户也需要培养安全意识，把守好权限，任意读写文件的权限只放给可信的应用——无论怎样，我感觉 UWP 应用如果普及，至少不会比目前的现状更差。

@mozutaba 只是新开一个后台进程刷量应该不触发 UAC 吧……

@mozutaba 卡巴不也有隔离区么……
倒是 WD 在我印象里有删掉激活工具就不给恢复的黑历史，我当时隔着屏幕都感觉到了微软的怨念……

@wevsty 如果微软能够完全收紧 DSE，及时封禁被广泛滥用的有 bug 的驱动，那可以想象黑产的日子会变得更难过，脚本小子可能直接就出局了……
可惜微软目前还做不到完全收紧 DSE。

@wevsty 那个恶意驱动不是天翼客户端的组成部分，它是用过期证书签名的，请看我前面的回复。

@TakaLv 个人觉得安全需要微软这个开发操作系统的和第三方应用开发者一起来解决……
按理说开发者比用户在专业方面懂得更多，本应由他们负责保证安全。结果现在开发者的某些行为本身就和用户“敌对”了……真是蛋疼。
@hx1997 微软的 UWP 应用也许可以一举解决权限、隐私问题，不过可以想象，安全性提升后，便利性可能会受影响(比如用户也许不再可以自由操作文件)

@wevsty 是的，都在 ring0 里，对抗是没完没了的，只有一开始就阻止它加载。
但天翼校园客户端蓝屏事件能发生，就表示微软目前没有把这个政策完全落实。也许未来版本微软会完全收紧 DSE，但个人、开源软件可能又会成为问题，说不定还会抛弃老硬件平台的支持。

@TakaLv 我觉得逛完知乎很容易形成一种印象：360 等国产免费杀软就是病毒，现在的病毒就是流氓全家桶，开 UAC 就可以防住流氓全家桶……
还有人推荐过 IObit 的 Advanced SystemCare 等软件，不过 LZ 上网搜了一下，好像这个 IObit 也是个国内的公司，而且好像有刷好评等黑历史……

@hx1997 LZ 正是了解到这些威胁才开始反应过来：杀软实际上扮演了一个非常重要的角色，虽然我们常常吐槽杀软是安慰剂……

@wevsty 封堵第三方应用的漏洞不是微软的工作，但维护 Windows 的“信任根”（不知道我用没用错术语）应该是微软的职责吧。

天翼客户端蓝屏事件其实才是刷新 LZ 三观的起点，LZ 本来以为有了 DSE，这种内核驱动木马应该近乎绝迹了，没想到搞定数字签名对那帮人来说还是接近 0 成本……
然后…… Win10 的 PatchGuard 在恶意驱动 Hook NTFS 驱动的时候整出了大面积蓝屏循环，把这件事搞成了大新闻，也许在这个意义上 PatchGuard 确实立功了（虽然很多用户好像压根没理解到这个层面）……

@wevsty ASLR、DEP 等缓解技术能有效提高攻击的成本，但不能完全避免漏洞被利用，这一点我自认为已经理解了。

@wevsty 可以看见那个恶意驱动的数字签名没有时间戳，而且数字证书早在 2014 年就过期了。

@wevsty
http://www.m5home.com/bbs/blog-4158-34.html
按照这篇文章说的，数字证书花钱不是问题，黑产愿意花钱，而且黑产甚至可能使用伪造的身份申请证书、给驱动签名（这一点我不知道是不是普遍现象）。
而且，微软没有及时封堵有漏洞的驱动（可能是他们受限于兼容性、厂商配合等因素不能这么做），甚至允许过期证书签名的驱动在系统启动时加载进内核——去年年底发生的天翼客户端蓝屏事件算是活生生的例子，签名驱动的是奇怪的 Beijing Kate Zhanhong Technology Co.,Ltd.。

@Domains
按我的理解，HIPS 的作用是让管理员不再是系统的上帝，比如直接 Hook 掉 SSDT 里的函数地址，管你是 SYSTEM 还是 TrustedInstaller，想拒绝的话，返回一个 STATUS_ACCESS_DENIED 就拒绝掉了。

HIPS 可以灵活配置规则，UAC 可能就死板一些，好像只能改改组策略，静默提权带数字签名的程序。
至于白名单……如果 LZ 没理解错，默认档 UAC 能被找出绕过漏洞，就是因为系统开了不够安全的白名单……

@billlee LZ 很好奇 Vista 时代的 UAC 弹窗多是个什么概念……
好像是 Win7 以后，PPPoE 拨号等不再需要弹 UAC 了（相当于开一个服务来做需要特权的事情，然后只允许没特权的进程对其进行有限的控制），但同时也开了容易被利用的提权后门？

@hx1997 最近 twitter 上他好像和 aionescu 有过一次摩擦……起因是 PatchGuard 禁用工具。
有时候感觉他说话挺偏激的，比如他曾说过 PatchGuard 就是微软实现的 rootkit、DRM，对付它就应该直接禁止它启动……
但我也不懂安全，不好揣测什么。

@Domains 感觉 HIPS 和 UAC 完全不是一个概念……
从表现上说，我记得点完 UAC 提权，整个进程都重启了，而且重启完就拿到 full token，变身真·管理员。HIPS 就不会这样，可以拦截多步操作。

@wevsty
首先感谢您的分享。

确实，LZ 目前已经知晓一些安全方面的概念，反而变得有些杞人忧天了……
而且作为外行，LZ 的确很可能犯错误，不能系统地分析一个问题。

感谢 @wevsty 和 @geelaw 愿意花时间帮 LZ 理清概念。
至于绕过 UAC 的问题，我想先稍微歪一下话题：IE 的保护模式也不被微软视为安全边界。
LZ 感觉如果保护模式被绕过了，危害是不是比 UAC 被绕过更大？
因为可能有不少用户已经形成了类似“不下载、运行就是安全的”这种印象，一旦浏览器出现漏洞，攻击者可能更容易悄无声息地侵入用户的系统。

话题回到 UAC 绕过上，不知道能否这样理解：虽然微软声称绕过 UAC 不是安全漏洞，但这个声明主要是针对默认档 UAC 已经是筛子这个现状的（而且绕过手段并不涉及内核层面）；事实上，想绕过最新版 Win10 下全开的 UAC，难度大概和从标准用户提权到管理员差不太多？

然后……下面说的可能有点跑题了……简单来说，就是 LZ 作为一个外行，隐约感到了 V2EX 和自己周围生活圈的一种“割裂”：

在 LZ 的生活圈子里，大家都随手下载 GHOST 系统、破解软件安装包，完全不当一回事。
既然如此，出现 MBR Bootkit 泛滥之类的情况，那完全是意料之中的……
难道整个“生态圈”形成了一种默契？搞黑灰产的不再作死盗网银，而是闷声发大财，然后用户就当安全问题不存在了？

另一个问题，感觉可能有点像引战，但的确也让 LZ 困扰了很久了：如果国内的“全家桶”都在作恶，那为什么还是有很多大牛、高手加入了 360、腾讯这些公司？

知乎上有答案直接指出 360 黑大多是跟风黑。但 LZ 仍然感到迷茫。

就 LZ 看见的现象来说，360 安全卫士、腾讯电脑管家等包含锁定主页、锁定默认浏览器等功能，的确有流氓的嫌疑，而且国内的软件好像大多都搞了类似的“自我保护”，有可能阻碍系统正常运行（比如上次的 UC 黑屏事件）。
不过，这些问题对不太挑剔的用户来说，好像并不是不能忍受的……

360 和金山网盾撕逼那会，有人爆出 360 会明文存储用户的网址，而且用户名、密码等敏感信息没有打码。还有人爆出过搜狗输入法明文上传用户键盘输入的事情……

是不是可以这样理解：国内厂商在安全、隐私保护等方面可能做得确实很不好，但他们瞄准了国内用户的使用习惯，实际上还是他们占领了市场？

可是，LZ 觉得，如果用个输入法都要开 Wireshark 抓包检查一下，这种事情对小白外行来说太残酷了……

那么，有技术的用户自发监督软件的安全性，可能也是整个安全生态圈里重要的一环？

@hx1997
我没用过 Sandboxie，不过据说新版 Sandboxie 已经不用驱动了。
按我的理解，用户层解决的问题是兼容性，搞个文件访问重定向 Hook 之类，改善兼容性问题；安全方面用好内核的安全机制就 OK 了，自己搞个驱动各种拦截可能反而不安全……

@hx1997 看到这个有点想起 Sandboxie ……