@Totato5749
http://bobao.360.cn/learning/detail/3779.html
http://www.freebuf.com/articles/system/109096.html
要不是 Win10 没事蓝个屏，中了可能都没感觉呢……

首先……作为被 BitLocker 的 AES-XTS 坑过的人，同情一下 LZ （ Win10 在 1511 版加了新加密方式，不兼容老系统，结果老系统打开新加密盘居然报密码输入错误，而不是报不兼容，真是误导）。

还有，Windows 的管理员账户权限很大的，别看动不动拒绝访问什么的……你至少可以直接获取所有权，然后改成允许完全控制。
实际上感觉和 root 也差不了太多了（笑）。
比如 PCHunter，直接用驱动在内核层里操作，操作文件、注册表，都无视权限……（貌似这类驱动有个绰号叫“穿越驱动”，360、腾讯他们都有做这个）

反正…… LZ 如果真的注意安全，确实应该把控好管理员账户，最好干脆别让别人用你电脑。

@acess 果然……改了这个值只是关掉主动探测，并不是完全关掉 NCSI ……微软只说不建议关这个。

@hantsuki
看上去好像是有 2 个开热点的接口……一个是 hostednetwork，可以用 netsh 命令开；另一个虚拟网卡名字里写的是 WiFi Direct。不过点开属性，都是 vwifimp.sys。
我甚至搞出过控制面板里显示开出两个热点的情况……实际上还是只开了一个热点，不知道微软怎么搞的。

检测公网，可能是 NCSI ……不知道改一下注册表值能不能关掉，网上搜到的位置是：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\EnableActiveProbing

哎…… dism restorehealth 又炸了，Known issue：
https://social.technet.microsoft.com/Forums/en-US/56112e60-53eb-4a26-b972-ff0480b35b54/dism-tool-doesnt-work-with-windows-10-professional-creators-update?forum=win10itprosetup

@snsd
那个 COM Surrogate 只是个替死鬼进程，需要用 Process Explorer 定位到那个进程，然后 CTRL+D，显示加载的 dll，看看里面跑的到底是啥。
https://blogs.msdn.microsoft.com/oldnewthing/20090212-00/?p=19173
磁盘 100%的话，也有可能是 AHCI 驱动有关的问题，网上有改注册表的办法，不过也有人说没用。

哎……现在说也迟了。

@wevsty
我一直在说 File System Minifilter Driver，您说的却是 File System Filter Driver，可能我说的和您提到的压根不是一个东西……😂
看上去 File System Minifilter Driver 是一种新的、更灵活的过滤驱动，微软希望用 File System Minifilter Driver 来取代老式 File System Filter Driver ……

@wevsty
又打开 Process Monitor 试了一下……
看上去 Minifilter 还是可以拦截 IRP_MJ_WRITE 的？ Process Monitor 中显示的路径确实是\Device\Harddisk0\DR0
软件显示的内核调用栈如下：
FLTMGR.SYS!FltpPerformPreCallbacks
FLTMGR.SYS!FltpPassthroughInternal
FLTMGR.SYS!FltpPassThrough
FLTMGR.SYS!FltpDispatch
ntoskrnl.exe!IopSynchronousServiceTail
ntoskrnl.exe!NtWriteFile
ntoskrnl.exe!KiSystemServiceCopyEnd

我当时用 gdisk 打开了硬盘（\\.\PhysicalDrive0 ），稍微修改了一下 GPT 分区表，然后让 gdisk 写入了修改。

我还尝试过用 PCHunter 摘除 PROCMON23.SYS 的微端口过滤器，不过看上去在我摘除过滤器后这个驱动又重新把它注册回去了，所以没能通过这个方法验证是不是微端口过滤器拦截了 IRP_MJ_WRITE。
搜了一下，找到了 MSDN 上关于 Minifilter 的文档：
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/ifs/filter-manager-concepts
看上去 Windows 搞了一个 Filter Manager 专门来处理过滤、拦截有关的事情……

@wevsty
Minifilter 看上去确实可以拦截到 IRP_MJ_CREATE ……这一点一开始我理解错了。

开了 Process Monitor，它的确拦截到了打开\Device\Harddisk0\DR0 的 IRP_MJ_CREATE。
PCHunter 的文件系统->微端口过滤器可以看到属于 PROCMON23.SYS 的项目，包括 IRP_MJ_CREATE PreFun、IRP_MJ_CREATE PostFun 等。

不过，调用链好像和您说的不太一样？
Process Monitor 的内核调用栈看起来是这样的：
FLTMGR.SYS!FltpPerformPreCallbacks
FLTMGR.SYS!FltpPassThroughInternal
FLTMGR.SYS!FiltpCreate
ntoskrnl!IopParseDevice
ntoskrnl!ObpLookupObjectName
ntoskrnl!ObOpenObjectByNameEx
ntoskrnl!IopCreateFile
ntoskrnl!NtCreateFile
ntoskrnl!KiSystemServiceCopyEnd
下面就是用户层了：
ntdll!NtCreateFile
KernelBase.dll!CreateFileInternal
KernelBase.dll!CreateFileW
KernelBase.dll!CreateFileA
……

结合这里的一张描述 Filter Manager 的图……
http://bobao.360.cn/learning/detail/3403.html
猜测到这里可能只是执行了 Minifilter 的 PreOperation，还没真正给下层驱动发送 IRP ？

@wevsty
其实还是怪我没说明白……
我说被绕过的是文件系统过滤驱动，不是磁盘设备过滤驱动。它可能拦截不到打开磁盘设备的 IRP 吧？

@wevsty
我自认为大概理解你说的……能“绕过”，说明那个 filter driver 考虑不严谨。
好比一个柜子上有好几个抽屉，其中一个抽屉上锁了，但其实只要抽掉上面没上锁的抽屉，就会发现里面是相通的……

那个 minifilter 是一个恶意 rootkit 驱动，它的目的大概也只是躲过 360 等杀软的扫描而已吧……它还触发了 PatchGuard。
可能写这个 rootkit 驱动的家伙不知道从哪里扒来了代码，只是抱着能跑就好的态度草草了事的。

@mozutaba
LZ 觉得，UAC 管不了“刷量”，这压根不是它的职责范围。

按 LZ 的理解，UAC 的职责范围差不多就是“一个标准用户中毒后系统仍然毫发无损，删除中毒账户就可以重新开始”，至于用户自己作死导致数据丢失、被盗等，那不是 UAC 要管的事儿。
但 UAC 可以帮助用户把关系统管理员特权，可能确实能帮助用户阻挡最危险的内核 rootkit 等威胁。

至于刷量问题，如果软件支持 per user install，那安装的时候其实可以不弹 UAC。
如果不是现在的流氓安装起来都需要管理员特权，我觉得刷安装量是可以完全不打搅 UAC 的……
而且，那个灰色软件可以不刷安装量，只刷点击量啊，这样就不会触发 UAC 了吧……

@ahhui 微软的理想状况是用户看到软件乱弹 UAC 就各种吐槽软件开发商，然后开发商受不了就去改进，适应 UAC。
但实际状况是大家一起吐槽微软的 UAC 就是个逗逼机制，纷纷把它完全关掉。

@ahhui 我说 UAC “做得更多”确实可能产生歧义……我的意思并不是让 Windows 收窄未提权管理员用户的权限，而是说正规的开发者应该好好利用 UAC，在执行敏感操作时提醒用户，而不是像某些软件一样一双击就弹 UAC，不点“是”不给用。
我只是吐槽现在 UAC，正规软件弹，流氓也弹，加在一起，用户能感觉到的就是各种弹，弹个不停……所以很多用户最后只能麻木地点“是”，让 UAC 真的变成没用的东西了……

至于诱导用户关闭杀软之类的，UAC 和杀软都管不了那么宽……

@mozutaba 我觉得很多情况下程序确实不需要弹 UAC 也可以正常安装、运行，但可能是因为抄代码、偷懒等原因，再加上关闭 UAC 实在太容易，所以 UAC 才因为弹得太多而在用户眼中变成了没用的东西。

LZ 认为 UAC 有用的理由：如果恶意代码没有管理员特权，那在补丁打全的情况下，它也很难钻进 ring0、很难提升权限。
这样一来，安全软件依靠自己的高权限就可以轻松秒杀各种恶意代码，只要它能正确检测到恶意代码就可以了。但现在，ring0 的驱动木马、Bootkit 都泛滥了，杀软即使能和它们对抗，也是没完没了的……
至于用户自己的数据和隐私问题，也许可以举这个例子：UAC 虽然管不了一般的键盘记录器，但它可以挡住比较危险的内核级键盘记录器。

@ahhui
我已经打 Linux 下 /dev/sdX 的比方说明过了…… Windows 也允许用户态程序直接打开磁盘扇区。
至于 Everything 的确切工作原理，我也不太懂。但它能绕过内核里的 minifilter，是我亲眼所见的经验。
我说这些，只是想说明 Everything 干的事情已经超出了 NTFS 权限能管得着的范围……

我觉得 UAC 能起的作用明明可以比现在更大。因为滥用管理员特权的程序太多，导致用户提权点到麻木，这个状态是不正常的。正常情况下的确应该是用户看到 UAC 提示就警惕起来，无论是安装一个陌生软件，还是软件执行了一个敏感操作都应该警惕不是么？麻木地点“是”，这种状况是不正常的。
至于 HIPS 频繁弹窗……我觉得这可能是 HIPS 的规则不够完备，也可能说明了 HIPS 的局限性——程序已经跑在内存里，如果拦截敏感操作，你可能很难区分这是正常的行为，还是系统进程被注入劫持“黑化”产生的恶意行为。

@mozutaba 其实我觉得，如果对方真的是恶意碰瓷，用 360 可能也是一样的结局……可能只要有窗口弹出来提示有毒，对方就可以耍流氓，说杀软把文件搞坏了云云……
感觉卡巴在国内知名度也蛮高啊，难道他们不承认卡巴是杀软么……

@mozutaba 我是说，卡巴应该也可以改一下设置，让它别急着把文件杀掉，改成只提示下一步操作吧？这样就可以避免这种疑似碰瓷的问题了……

@ahhui 以前 IE 浏览器是最普及的，现在有开源的 Chromium、Firefox，各家都进来插一脚……
杨竞的解释就是出于兼容性考虑，通过开发插件覆盖市面上各种乱七八糟的浏览器很难，才做了内核里的监视驱动。
不过……我记得 Windows 已经提供了 WinSock 来在用户态实现这个功能，不知道迅雷为什么不用这个。
另外，WinSock 好像早在多年前就因为滥用问题广受诟病了（微软可能又会觉得这锅背得冤啊）……一直到现在，netsh winsock reset 仍然是修电脑必备技能😂

@ahhui 我觉得 Everything 的做法类似于数据恢复工具直接打开\\.\PhysicalDrive0 这样的磁盘设备（换成 Linux 上就是直接打开 /dev/sda 这样的块设备），其实已经超出 NTFS 权限涉及的范畴，所以系统才要求必须有管理员权限才能执行这种操作。
实际上就算 Everything 仍然依赖内核中的 NTFS 驱动，它也可以直接绕过文件系统 minifilter ……