@Domains
按我的理解，HIPS 的作用是让管理员不再是系统的上帝，比如直接 Hook 掉 SSDT 里的函数地址，管你是 SYSTEM 还是 TrustedInstaller，想拒绝的话，返回一个 STATUS_ACCESS_DENIED 就拒绝掉了。

HIPS 可以灵活配置规则，UAC 可能就死板一些，好像只能改改组策略，静默提权带数字签名的程序。
至于白名单……如果 LZ 没理解错，默认档 UAC 能被找出绕过漏洞，就是因为系统开了不够安全的白名单……

@billlee LZ 很好奇 Vista 时代的 UAC 弹窗多是个什么概念……
好像是 Win7 以后，PPPoE 拨号等不再需要弹 UAC 了（相当于开一个服务来做需要特权的事情，然后只允许没特权的进程对其进行有限的控制），但同时也开了容易被利用的提权后门？

@hx1997 最近 twitter 上他好像和 aionescu 有过一次摩擦……起因是 PatchGuard 禁用工具。
有时候感觉他说话挺偏激的，比如他曾说过 PatchGuard 就是微软实现的 rootkit、DRM，对付它就应该直接禁止它启动……
但我也不懂安全，不好揣测什么。

@Domains 感觉 HIPS 和 UAC 完全不是一个概念……
从表现上说，我记得点完 UAC 提权，整个进程都重启了，而且重启完就拿到 full token，变身真·管理员。HIPS 就不会这样，可以拦截多步操作。

@wevsty
首先感谢您的分享。

确实，LZ 目前已经知晓一些安全方面的概念，反而变得有些杞人忧天了……
而且作为外行，LZ 的确很可能犯错误，不能系统地分析一个问题。

感谢 @wevsty 和 @geelaw 愿意花时间帮 LZ 理清概念。
至于绕过 UAC 的问题，我想先稍微歪一下话题：IE 的保护模式也不被微软视为安全边界。
LZ 感觉如果保护模式被绕过了，危害是不是比 UAC 被绕过更大？
因为可能有不少用户已经形成了类似“不下载、运行就是安全的”这种印象，一旦浏览器出现漏洞，攻击者可能更容易悄无声息地侵入用户的系统。

话题回到 UAC 绕过上，不知道能否这样理解：虽然微软声称绕过 UAC 不是安全漏洞，但这个声明主要是针对默认档 UAC 已经是筛子这个现状的（而且绕过手段并不涉及内核层面）；事实上，想绕过最新版 Win10 下全开的 UAC，难度大概和从标准用户提权到管理员差不太多？

然后……下面说的可能有点跑题了……简单来说，就是 LZ 作为一个外行，隐约感到了 V2EX 和自己周围生活圈的一种“割裂”：

在 LZ 的生活圈子里，大家都随手下载 GHOST 系统、破解软件安装包，完全不当一回事。
既然如此，出现 MBR Bootkit 泛滥之类的情况，那完全是意料之中的……
难道整个“生态圈”形成了一种默契？搞黑灰产的不再作死盗网银，而是闷声发大财，然后用户就当安全问题不存在了？

另一个问题，感觉可能有点像引战，但的确也让 LZ 困扰了很久了：如果国内的“全家桶”都在作恶，那为什么还是有很多大牛、高手加入了 360、腾讯这些公司？

知乎上有答案直接指出 360 黑大多是跟风黑。但 LZ 仍然感到迷茫。

就 LZ 看见的现象来说，360 安全卫士、腾讯电脑管家等包含锁定主页、锁定默认浏览器等功能，的确有流氓的嫌疑，而且国内的软件好像大多都搞了类似的“自我保护”，有可能阻碍系统正常运行（比如上次的 UC 黑屏事件）。
不过，这些问题对不太挑剔的用户来说，好像并不是不能忍受的……

360 和金山网盾撕逼那会，有人爆出 360 会明文存储用户的网址，而且用户名、密码等敏感信息没有打码。还有人爆出过搜狗输入法明文上传用户键盘输入的事情……

是不是可以这样理解：国内厂商在安全、隐私保护等方面可能做得确实很不好，但他们瞄准了国内用户的使用习惯，实际上还是他们占领了市场？

可是，LZ 觉得，如果用个输入法都要开 Wireshark 抓包检查一下，这种事情对小白外行来说太残酷了……

那么，有技术的用户自发监督软件的安全性，可能也是整个安全生态圈里重要的一环？

@hx1997
我没用过 Sandboxie，不过据说新版 Sandboxie 已经不用驱动了。
按我的理解，用户层解决的问题是兼容性，搞个文件访问重定向 Hook 之类，改善兼容性问题；安全方面用好内核的安全机制就 OK 了，自己搞个驱动各种拦截可能反而不安全……

@hx1997 看到这个有点想起 Sandboxie ……

@geelaw 对于一部分用户来说，他们早就知道 DSE、PatchGuard 等等机制的局限性。不过对于身为外行的 LZ 来说，这就完全是刷新三观了。

至于杀软的局限性，我想肯定不少用户都纠结过“哪个杀软好”这种问题吧。杀软对我们外行来说，就像个黑盒，很难判断它到底能帮自己做什么……

另外，关于您说的“ UAC 是为了让你不用创建两个用户出现的”，还有“关闭 UAC 并不会降低 Windows 的安全性，降低的是易用性”……不好意思，我好像还是不太明白。

比如，在 Linux 下，root 用户拥有最高权限，可以无视文件权限，以至于使用 sudo 命令时都会提醒“尊重其他用户的隐私”。但 Windows 下，管理员账户并不能直接访问其他用户的主文件夹。
的确，管理员可以直接修改 ACL 来解除这个限制，甚至只需要点一次带盾标的“继续”就自动搞定了这些，但问题不仅限于此：管理员账户和标准用户终究是两个账户，拥有不同的配置，产生了两个不同的环境。

可不可以说，有了 UAC，比起开两个账户，提升了易用性，但的确也牺牲了一部分安全性？
也许我的理解仍然有不少不对的地方……
不管怎样，还是感谢您关注这个帖子:-)

@geelaw 作为没有接受过系统教育的外行，LZ 也是最近才发现自己对 UAC 产生了多可笑的误解……

@anyclue @ahhui @wevsty
我觉得大家肯定也不是强求 100%的安全，只是要求相对的安全。

但就拿 DSE 和 UAC 来说……信这俩你真的就输了。

比如 DSE，即使你勤快地打了补丁，把 ntoskrnl 和各种乱七八糟的驱动的漏洞都补了，只要攻击者有机会以管理员身份执行代码，他照样可以找一个有签名的驱动加载进系统，把漏洞重新引入内核。
微软可以勤快地给内核打上补丁，那些 0day 也可以当作只用来对付“国家的敌人”的武器而忽略掉，但有数字签名≠安全，带数字签名的，无论是.exe 还是.sys 都可能带漏洞，然后被利用…… DSE 绕过那两个项目里，关掉 DSE/绕过 DSE 其实只是小 case，或者说，只是给不懂内核的攻击者提供方便而已；对于懂内核的攻击者来说，关掉 DSE 可能都是无谓地闹出动静、多此一举。
防守的这一方不是毫无办法，至少可以把已知的有漏洞的驱动屏蔽掉。但这样不能从根本上堵死这种攻击思路。
如果因为害怕这种利用方法，而使用白名单策略（又触及 LZ 的知识盲点了…… Windows 下可以实现这个么？），对个人日常使用来说，又会明显影响到正常使用，至少也要多花一些精力维护白名单——对于非专业用户来说，光是理解啥是“数字签名”可能就挺费劲了吧？

UAC 同理，攻击者可以把带数字签名但有漏洞的安装程序解压到临时目录，然后通过劫持它来运行自己的代码。根据 LZ 看到的一些分析文章，这招不仅可以骗过 UAC，甚至还可以绕过很多安全软件的主动防御。

最近还看到 360 声称发现了藏在 UEFI 固件 CSM 模块里的木马：
http://www.freebuf.com/articles/system/133243.html
似乎把是之前已经被发现的“暗云”木马塞进 BIOS 了：
http://www.freebuf.com/articles/system/109096.html
对 LZ 这种小白外行来说，完全是刷新三观——连刷个广告 TM 都用上 Bootkit 了……
乐观一点，可以推测攻击者并不懂这些高级的技术，只是花钱买来了这些攻击工具，或者只是下载了泄露的恶意软件代码，然后稍加修改……
也许，对付这种脚本小子，只需要守住入口，不给它们执行的机会就 OK 了。
不过，LZ 仍然感觉脊背发凉。

@wevsty 其实我大概看过，确实和你说的差不多，只有默认挡是筛子。
但调到最高档也出现过磁盘清理程序的漏洞，而且微软没放补丁修补。

@ahhui @imn1
说实话……我觉得这不完全是“外行”的问题，知乎好像被软粉统治了，那么说微软的东西有安全隐患好像也是政治不正确？
也许散布这些观点的人只是想帮微软推 UWP 应用、在微软跟 Google 撕逼时帮微软说话，或者——纯粹只是闲着蛋疼说着玩玩而已。
不过，我觉得知乎仍然是被不少小白（比如 LZ ）信任着的平台，有些人随口说的几句话可能会被小白奉为圭臬。
哎，果然 LZ 还是 too young too simple ……

@ibreaker
mklink ，要啥有啥。
不过确实没怎么用过软连接……以前见过一篇博文说软硬链接的用途，很详细，但忘掉收藏了，现在找不到了。

@seashell 试试看给一个文件创建一个硬链接，然后把原先的文件删掉呢？

这个问题超级严重（我自己倒是没碰到过）：分区表错乱 /分区丢失
https://answers.microsoft.com/zh-hans/windows/forum/windows_10-files/安装周年更 /6a3b6268-1365-4265-b81b-aa09b9cf2574
微软在官方论坛承认了，并且说要给解决方案。
然而……这都啥时候了……解决方案好像还没影子呢。

还有……这个毛病似乎不仅限于 Win10 ，似乎 Win8.1 也有中招的样子……

@kokutou
我也用组策略关了 UAC 试了一下……
发现 Word 2016 打开从网上下载的文档时会进保护模式（ Procexp 中可见 Integrity Level 显示 AppContainer ），但 IE 的保护模式看上去还是被关了（ IL=High ）
不知道微软为啥还是不让 IE 进保护模式。

既然 LZ 提到“提示 bcd 出现问题需要修复”，那么我猜“四个启动项在 BIOS 里只看到一个”和“提示 bcd 出现问题需要修复”这两个现象也有可能是 LZ 使用 EasyUEFI 不当地修改了{bootmgr}中的某些值导致的。

BCD 实际上就是个 registry hive ，注册表编辑器可以加载它的。
LZ 还可以看看这个:http://www.yiiyee.cn/Blog/bcd-1/#more-746

ESP 分区和一般 FAT 分区还真不一样（而且我记得 ESP 应该用 FAT32 而不是 FAT16 ？）。 ESP 是有自己的分区类型 GUID 的，有时候还会设置 GPT Attribute ，设置隐藏、必须等，这俩属性用 diskpart 、 gdisk 可以查看、修改。
至于两块硬盘都有 ESP 的情况……感觉列表里要列出几个、哪个排前面要看 UEFI 固件的心情吧。另外， UEFI 启动项可以设置隐藏属性（ BOOTICE 中可见），可能是这个隐藏属性，结合了 UEFI 固件开机时自动扫描硬件的行为，最终导致了 LZ 看到的“四个启动项在 BIOS 里只看到一个”等怪现象。

BCD 数据库里有{fwbootmgr}和{bootmgr}两个对象，我觉得{fwbootmgr}应该是和 UEFI NVRAM 保持同步的，但你也可以通过 /store 参数指定某个 BCD 数据库，然后读取 /修改这个 BCD 里存储的{fwbootmgr}启动项。

据我所知…… UEFI 有个 NVRAM 可以保存设置，其中就有各种启动项，包括但不限于 Windows Boot Manager 、 grub2 、 PXE 、 U 盘等。
每次开机时 UEFI 固件都会扫描一下硬件，更新这个列表。
有些蛋疼的问题也出自这个特性，比如联想笔记本把 U 盘里的 grub2 识别成某 Linux 导致无法启动、手动添加的 UEFI 启动项重启完就消失等。
至于 BCD 文件……应该是 Windows 启动时，就从 NVRAM 里拷了一份启动项列表，然后在使用 bcdedit 时和 NVRAM 保持同步。