想讨论一下后门程序可否通过windows update进入用户系统。

显示全部楼层 · 发表于 2018-4-27 15:24:55

a2120258 发表于 2018-4-26 18:05
感觉windows 10就是管的太多了，将用户完全傻瓜化，完全没有给用户应有的思考。像更新这些东西，完全是用 ...

强制自动更新的存在主要是安全考虑。正如你说的，如果系统可以不更新，用户也不会尝试去更新，更何况普通用户并不了解计算机，他们更没有意愿去更新。但不更新的系统意味着被发现的漏洞不会被修补，漏洞公开会导致更多的可攻击面产生，而如果这类计算机部署在重要的领域，如电力、医疗、核电站等，这种漏洞的存在可以让恶意的人（或者恐怖分子）利用，发起致命的攻击。

举大例子不好理解，就说个简单的，你想想，现在有多少市面上的路由器是不带自动更新的功能的？这些路由器使用过时的技术，带有老版本的组件，而这些组件和技术，都可能存在漏洞而得不到修补。黑客与其攻击微软的服务器，不如直接攻击路由器，拿到路由器了，你去百度下载个破解exe，也许就被黑客用dns劫持让你下载到有毒的版本，等你运行的时候，怀疑杀毒软件误报，于是你关了杀毒软件继续运行，可能你的文件就会被勒索加密了、或者电脑变矿机开始挖矿了。等等。

显示全部楼层 · 发表于 2018-4-27 15:30:02

a2120258 发表于 2018-4-26 18:08
我记得好几年前江民杀毒软件的升级服务器被入侵了，然后凡是升级杀毒软件的用户都被感染木马病毒。这个事 ...

讨厌自动更新和云服务可以理解，而且本人完全尊重你的看法。

只是事物的两面性一直存在，你可以讨厌云服务，但开发商也可以完全不做本地软件。你现在在手机里使用的微信，淘宝，支付宝这些工具，基本上就不是本地应用，他们直接将你的数据存储在云端，甚至你存储的数据（如收货地址、电话号码、通讯录、聊天记录）都可能被恶意的员工哪来倒卖。只是这些风险并不如自动更新和云服务软件让你快速感知到危险。但这样的风险一样存在，而且用户没有办法拒绝，除非你就不用微信、支付宝、淘宝什么的了。

多说一句，攻击的价值并不是在于你的计算机，操控你的计算机也是为了能得到数据，或者勒索钱财。最高级的难道不是做个软件让你心甘情愿地把数据交出去么？如果这样想的话，是不是现在得丢了手机，不再上网了呢？不，当然不是，而且我也认为，用户对搜集隐私有决定权，以及搜集隐私的厂商在保护隐私上有不可推卸的责任。

只是比较而言，自动更新还真不算个事。

显示全部楼层 · 发表于 2018-4-27 15:33:30

a2120258 发表于 2018-4-27 12:20
这种做法确实可行的，记得2013年1月28日吗？黑客通过杀毒软件的升级服务器，大面积感染用户电脑。凡是升 ...

以前杀毒软件误报微软的文件，那应该确实是误报。你大概还不知道，微软的更新还要兼容应用软件的（没看错，微软给系统打补丁去兼容第三方应用软件），代码复杂，文件繁多，而且更新频繁。第三方杀毒软件出现误报是正常的。

当然你也可以认为不是误报，而是后门，这依然有可能是真的。然而如果有的话，恐怕很快会成为大新闻吧，你说是吧？

显示全部楼层 · 发表于 2018-4-27 15:41:30

本帖最后由峪飞鹰于 2018-4-27 15:54 编辑

最后多说几句，其实软件开发商根本不愿意提供更新啊。你把软件想象成写书，你买回去读就好了，有错别字？有段落错误？有内容错误？有排版错误？你再买一本新的啊（如果作者或者图书出版社改版重印了的话）。软件开发商还要花人力物力（写代码要人写啊，查漏洞要人跟踪啊，解决方案出来后兼容性要人测试啊，这些人要发工资啊）搞了个更新，还免费给人提供？这TM什么事？我才不要干呢！

其实免费自动更新可是一种“福利”啊，就好比你在淘宝上买一件衣服，穿身上3月，然后制衣服的厂家说，我们用的丝绸有点不好，版型有点过时，免费给你换一件吧。然后你肯定会开开心心的去换啊。

拿安卓举例，你猜猜，有多少安卓的手机厂商，抛弃了老版本的手机，既不更新系统（还停留在Android 4，5，6上），也不整合 Google 的补丁包（虽然 Google 放弃了老手机，但新手机和新版系统还是有免费的补丁包发给手机厂商的）。就算是最新的旗舰手机，在系统更新上，有的手机厂商甚至就改个版本号，假装给你打了补丁。

显示全部楼层 · 发表于 2018-4-27 15:45:49

a2120258 发表于 2018-4-26 18:05
感觉windows 10就是管的太多了，将用户完全傻瓜化，完全没有给用户应有的思考。像更新这些东西，完全是用 ...

ios情何以堪。大多数用户都是小白，连安装软件都会被捆绑安装流氓软件，系统更新就更不用说了

显示全部楼层 · 发表于 2018-4-27 16:10:11

峪飞鹰发表于 2018-4-27 15:41
最后多说几句，其实软件开发商根本不愿意提供更新啊。你把软件想象成写书，你买回去读就好了，有错别字？有 ...

说句实话，用户不是不想更新，而是不想不可控的更新。

显示全部楼层 · 发表于 2018-4-27 16:16:55

a2120258 发表于 2018-4-27 16:10
说句实话，用户不是不想更新，而是不想不可控的更新。

这也是微软更新被诟病的地方，最好的办法是持续通过反馈系统，通过Upvote，把要求微软提供更多更新选项的反馈顶上去，才有可能改变。

不过微软已经提供了很多延迟功能，功能更新最长可以延迟一年，月度更新可以延迟指定天数。工作时间设定可以避免不可控的重启。

比如我，一般设定好工作时间（可以设定18个小时），在空闲的时候，或者工作时间之外，手动去把补丁打完然后重启，保证计算机工作正常。

显示全部楼层 · 发表于 2018-4-27 16:21:34

更新向左，新更向右？

显示全部楼层 · 发表于 2018-4-27 17:41:49

看了上面的回复，长知识了

显示全部楼层 · 发表于 2018-4-27 18:15:45

去年的想哭勒索怎样？不是人人都有楼主的自觉性。

攻击微软更新服务器这么大的事有好下场吗？

这不是炫技

[讨论] 想讨论一下后门程序可否通过windows update进入用户系统。

RE: 想讨论一下后门程序可否通过windows update进入用户系统。