白加黑到底牛X在哪里？

峪飞鹰

caesar19870926 发表于 2012-10-5 01:12
顺带问下这位大神，那win7所谓的管理员账户和这里说的常用账户的区别在哪里？是不是UAC提权以后就和超级 ...

大神不敢当，卡饭卧虎藏龙，我只是简单说说我的看法。

其实，用受限帐户对小白和普通用户是比较好的，没有太多限制，常用软件也都能用（部分除外，我很反感有些软件就压根不是为非管理员帐户运行而设计的），对高等的用户确实会造成烦恼。但我想说的是，如果严格按照权限要求来，没有必要在开发软件的时候，就随随便便要求用户计算机的全部权限。例如，一些聊天工具，下载工具，没事要提权干嘛呢？普通应用用不到啊！对不？（我这只是举例，并不针对任何聊天和下载工具而言）。其实我的观点也是，正因为用户压根就不常用非管理员帐户，也就没有遇到过各种不兼容情况，更没有去软件开发商那里报告要求他们修改，所以长期下来，基本上开发商也就不考虑非管理员帐户的运行了（如前面所说的，115网盘，在非管理员帐户下可以运行，但添加一个任意下载任务，将会出现错误提示框，下载不能完成，原因是它的程序试图在Program Files目录下写入下载列表，而非管理员帐户没有这个路径的写入权限）。

关于UAC提权，我记得没错的话，如果是受限帐户，当运行UAC提权程序的时候，会弹出对话框，这时是可以输入管理员帐号和密码的，输入后是可以让程序以完全管理员身份运行（是不是虚拟化我不了解，只是从现象看，所做的系统更改操作都会被应用）。

回到受限帐户来说，如果你用受限帐户使用系统，在不知道系统管理员帐号密码的情况下，即使有程序提示UAC提权，基本上你是无法完成提权的，也就只能让它拒绝，自然程序就不会执行，不会更改系统配置和关键目录下的文件（包括也不能更改注册表）。而一般白加黑的入侵，大多是常见操作中完成的，比如网上下载的某个压缩包，比如插入的U盘。在没有系统操作权限下，这些DLL即使被利用加载，那么白进程退出后，所有利用都不会长久持续化存在，无法随机启动，无法修改系统BHO加载到浏览器里面，甚至“可能”无法跨进程写入数据（如远程DLL加载注入等），这样他的所作所为都是受限的，并且不是持久的，相对而言会比直接用管理员帐户乱点要安全的多。只是有些后遗症比较讨厌，比如，不能自动更新FlashPlayer，需要切换到管理员帐户后手动更新、不能自动更新如QQ输入法等等。但如果真的大多数人都用受限帐户的话，这些软件开发商必然要做适当修改，以保持最佳的用户体验。

所以，要加强安全，不仅仅是用户要做的事情，包括开发商，包括操作系统，都必须按照一定的要求来做，才能达到比较好的安全防护级别。

卡饭国外区的大神，你们为了区区的中毒几率，挖桩那些国外杀软，牺牲电脑效率，是否值得？真是搞笑

FXA8

lanbingsu 发表于 2012-10-5 15:22
卡饭国外区的大神，你们为了区区的中毒几率，挖桩那些国外杀软，牺牲电脑效率，是否值得？真是搞笑

观点过激了吧，照这么说直接裸奔效率不是更高么

dyhua

白加黑，只要是靠白文件启动黑DLL来欺骗杀软的监控
因为启动项是安全的所以就放过了

dyhua

saga3721 发表于 2012-10-4 18:16
没那本事逆，我从金山和360命名上都没看出来是什么玩意儿
金山报VIRUS_UNKNOWN
360报Generic

金山报的就是远程黑客软件
VIRUS_UNKNOWN    ，XX-UNKNOWN 这是金山对远程的报法

caesar19870926

峪飞鹰 发表于 2012-10-5 09:21
大神不敢当，卡饭卧虎藏龙，我只是简单说说我的看法。

其实，用受限帐户对小白和普通用户是比较好的， ...

恩，又学了点东东~也就是说我们安装好win7，未关闭UAC的前提下，进入的那个账户其实就是管理员账户？因为他没有像Ubuntu那样一遍一遍提示输入用户名密码，但是这个管理员账户也是受限的，系统文件同样是删不掉的~但是win7的超级管理员账户是可以的，以前曾经玩过~就想问下在UAC开启的情况下做出的注册表等等的修改应该是实机的吧？因为以前有过这样的经历：系统蓝屏重启恢复后却找不到先前装软件时候留下的那些痕迹，文件倒是在，注册表什么的却不见了，所以我的理解一直是UAC未提权限的话就是虚拟化的状态，提权了，系统就不管了，出事了用户负责~是这样的？以前也用过115，感觉真是这样的，下载任务如果启动时候不给他权限启动，它就无法新建任务自助粘贴链接下载~只能说厂商有些不负责任了，图省事的说~直接提权绕过了各种可能产生不兼容的问题~不过就把安全的责任丢给了用户，至于说软件自身的漏洞则是发现了再来补救。权限高了，貌似这种外联类的软件就会比较危险~

gaoxiaowei

峪飞鹰 发表于 2012-10-4 10:24
白+黑到底牛叉在哪里？在于可信任软件的无限制系统使用行为！怎么说呢？其实，表面上是，可信任软件的数字签 ...

开发他们的公司压根就没想过 Windows 还有受限帐户

这句真相了

峪飞鹰

caesar19870926 发表于 2012-10-5 21:16
恩，又学了点东东~也就是说我们安装好win7，未关闭UAC的前提下，进入的那个账户其实就是管理员账户？因为 ...

嗯，你对UAC虚拟化的理解基本上是对的，更详细的UAC虚拟化说明可参考百度百科：
http://baike.baidu.com/view/3513300.htm

关于如何配置受限帐户的Windows7系统，微软有一篇详细的博客文章，可供参考：
http://technet.microsoft.com/zh-cn/library/ee623984(v=ws.10).aspx

不过我有个地方要提醒一下，虽然出现问题的是我的XP，我没试过Win7，但还是要注意留意。上面那篇介绍Win7对已经存在的管理员帐户降级的操作，而正好同样的事情我在XP系统下做过，但被我发现了一个副作用。就是MSE杀毒。当我使用管理员帐户A安装MSE后，新建管理员帐户B，然后将管理员帐户A降级为普通帐户后，重新用降级后的A帐户登录系统后，MSE的所有设置可修改，但无法保存。而如果我一开始创建的B管理员帐户安装MSE，新建A帐户为受限帐户，切换到A下面操作MSE，所有设置都能保存。我也不知道这算不算Bug（之前在测试MSE beta版本的时候写过报告，不知道是我英文写的不好还是怎么的，反正这错误从2.0开始一直到现在4.1都没修正）。特提醒注意。

caesar19870926

峪飞鹰 发表于 2012-10-6 09:27
嗯，你对UAC虚拟化的理解基本上是对的，更详细的UAC虚拟化说明可参考百度百科：
http://baike.baidu.c ...

恩，受教了，慢慢看去~~

wjcharles

zhengxu_1985 发表于 2012-10-3 22:33
当然是本土特色，白加黑要在美国流行 诺顿 麦咖啡照样能防住 人家是全球 中国不算是重点地区

美国的0access系列都是白加黑的。。。也很流行，去symantec的英文论坛就知道了