[go: up one dir, main page]
More Web Proxy on the site http://driver.im/
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
广告
bler
V2EX  ›  信息安全

你们是真的秀,把我帖子整到水深火热中去,开个新帖总结一下软件开后门的一些应对措施

  •  5      
  •   bler · 15 天前 · 6785 次点击

    你们是真的秀,把我帖子整到水深火热中去,开个新帖总结一下软件开后门的一些应对措施

    取之于 v 友,回馈于 v 友

    1 、先说一下检测工具:

    https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

    https://github.com/BlackINT3/OpenArk

    下了一个 process monitor ,小试一波,就发现 wps 在读取我的注册表,读的还是 openvpn 的的证书位置,因为我是通过 openvpn 组网的,wps 应该是扫描进程扫到了,就一直读取我的注册表,真的难顶,这些大厂的嘴脸也是毫不掩饰。

    2 、一些应对方案:

    1. 看软件介绍内容,越规范,可信度越高。
    2. 能断网的,断网用。
    3. 没法断网,只是扫硬盘进程的,扔虚拟机用。
    4. ssh 这类,选择顺序开源>闭源,口碑好用户多优先。闭源和口碑用户量,选后者。

    小作者有可疑操作的,就尽量不要用了,大厂你没办法,既然反抗不了就听之任之吧

    3 、一些推荐的开源软件:

    远程连接工具:

    还有 finalshell 我也不打算用了,服务器密钥这玩意儿还是不要用这种 oneman 软件了, 之前就是用的 xshell ,贪图方便用了 finalshell ,生命不息,折腾不止啊

    待定替代方案: https://github.com/gnmyt/Nexterm?tab=readme-ov-file 这个软件还没试过自己编译,不知道怎么样。

    桌面整理工具:

    https://github.com/fanchenio/DawnLauncher

    刚下载源码编译过了,能够编译成功 有免费版和收费版,发现免费版也符合我的需求了,收费版 34 块钱,也不贵,虽然用的免费版自己编译的,也赞助了作者一波,不能完全白嫖,不然以后找个好用点的东西也找不到

    4 、其他一些非开源工具(不知道怎么样)

    NetLimiter

    www.wgstart.com

    50 条回复    2024-12-16 18:46:17 +08:00
    cassidy0134
        1
    cassidy0134  
       15 天前
    我在想有没有办法把 windows 进程隔离,就像 docker container ,随便程序怎么扫,不知道有没有这样的技术/软件
    yagamil
        2
    yagamil  
       15 天前
    windows 有没有那种像安卓那样的权限管理软件? 比如限制连网
    exch4nge
        3
    exch4nge  
       15 天前
    win10 store 里的 app 之前是沙箱隔离的,现在大部分不是了。此外 Sandboxie 可以用来隔离一部分软件。或者用 Windows Sandbox 一次性沙箱。
    wu67
        4
    wu67  
       15 天前
    一个比较神经的操作: 你可以把你所有不信任的程序丢虚拟机里面运行. 重要的资料只留在宿主机里面, 虚拟机里面就让他养蛊算了.
    Jacobson
        5
    Jacobson  
       15 天前
    @wu67 #4 +1,这几年都这么干的
    cassidy0134
        6
    cassidy0134  
       15 天前
    @wu67 #4
    @Jacobson #5

    这样会不会用一段时间发现虚拟机变成主机器了,然后又变成混杂状态?
    wu67
        7
    wu67  
       15 天前
    @cassidy0134 无所谓主不主, 就是比较典型的极端分割主义, 只要宿主机‘干净’的做法. 这样即使虚拟机内第三方软件搞事情, 你也不会损失你真正重要的资料、信息和密码.
    Jacobson
        8
    Jacobson  
       15 天前   ❤️ 3
    @cassidy0134 #6

    不会的.

    其实说起来主要还是 QQ 微信 旺旺 WPS 这类常用的让我觉得可能会搜集信息的国产软件,然后用 RmoteAPP 挂载到本机使用.

    不仅不会乱,反而越用分的越清晰的
    cassidy0134
        9
    cassidy0134  
       15 天前
    @wu67 #7 我是说会不会时间长了虚拟机里慢慢产生了新的重要的资料和信息?

    比如,op 抓出来 wps 会扫描 openvpn 相关的注册表,此时把 wps 放进 vm ;过段时间 xx 程序会扫盘,放进 vm ;然后 wps 在用了一段时间后产生了各种文档,这些文档又被在里面的 xx 程序读到,此时反而 vm 外是安全的。

    有没有什么程序可以做到像是 android 里存储隔离( storage scope )那种方式?
    cassidy0134
        10
    cassidy0134  
       15 天前
    @Jacobson #8 是说每个软件一个 vm 吗?还是指有什么类似于容器一样的东西可以做到隔离?
    jinliming2
        12
    jinliming2  
       15 天前 via iPhone   ❤️ 1
    @cassidy0134 #9 看使用习惯吧,你可以把 wps 程序放进去,但是要处理的文件仅在需要的时候临时放进去,编辑完立马移动到宿主。虚拟机一定是可以定期还原快照的状态,数据总是临时存放。

    而你编辑文件的那一个临时态,确实存在 xx 会扫描到的情况,这个应该就不好避免了,只能程序间完全隔离,一个程序一个环境。
    Citrullus
        13
    Citrullus  
       15 天前
    @yagamil 其他不清楚,我用火绒限速,直接设置到 0
    suofeiya
        14
    suofeiya  
       15 天前
    @cassidy0134 #1 windows 沙盒?,不过不是进程级的.
    murmur
        15
    murmur  
       15 天前
    楼主建议看看心理医生或者肉身国外,腾讯产品都是刚需还担心后门,哎
    yanqiyu
        16
    yanqiyu  
       15 天前
    Linux 用户:腾讯的 QQ 和微信不但读不到我的文件,就算我要发文件都得提前把文件拷贝到特定的路径下微信才看得见
    codehz
        17
    codehz  
       15 天前
    @cassidy0134 TLDR:没有 gui 支持,我之前试过在 silo 里启动带有窗口的程序,发现那部分完全没做隔离,只能要么全有,要么全无(无窗口)
    catamaran
        18
    catamaran  
       15 天前
    @yagamil 防火墙啊,很简单的事情,可以根据程序,协议,端口控制
    sun82kg
        19
    sun82kg  
       15 天前
    扫就扫吧,又怎么样呢
    bitfly
        20
    bitfly  
       15 天前 via Android   ❤️ 2
    我就是实体机不运行任何国产软件,隐私是一方面 另外一方面就是有强迫症 不喜欢这些软件在后台定期频繁高小动作 消耗我的 cpu 和无限读写硬盘,必用大厂比如微信 qq 丢云服务器挂着就好了 虚拟机都懒得给他,虚拟机里就一个向日葵 时不时远程用。
    用着非常舒畅 电脑十分干净
    AwenWalker
        21
    AwenWalker  
       15 天前
    @yanqiyu linux 要搞事情扫盘更容易好吧,用 flatpak 这种带沙箱机制的才有隔离效果,但是如果设置不当也是会被绕过的
    catazshadow
        22
    catazshadow  
       15 天前
    信不过任何国产软件,毕竟有拼多多黑手机案例。连安卓沙箱都管不住更何况 windows

    国产软件全都丢到虚拟机里,问就是不信任
    levelworm
        23
    levelworm  
       15 天前 via Android
    Sysinternal 还有 process hacker 可以玩,也挺有意思的。
    SmithJohn
        24
    SmithJohn  
       15 天前
    最好的其实是多个虚拟机分别隔离,宿主机只装虚拟机软件.
    drymonfidelia
        25
    drymonfidelia  
       15 天前   ❤️ 1
    除了物理隔离+内网隔离 否则有的是办法绕过
    各种本机防火墙别考虑了,Windows 下没有管理员权限的程序也能随意把代码注入别的进程执行,对想干坏事的有一点点技术的人就没任何效果
    Admstor
        27
    Admstor  
       15 天前
    我早就国产软件丢虚拟机了。。。

    微信这类是单独的一个虚拟机,里面就一个微信和浏览器,马化腾张小龙你随便扫描
    其他工具类单独一个虚拟机,对对,迅雷百度你们慢慢打
    高危类,未使用过的一个虚拟机,用完直接镜像还原,部分可能存在穿透逃逸风险的,虚拟机也会直接销毁

    主力机就是一个终端,全部远程桌面链接过去
    部分虚拟机用 syncthing 进行,单向/双向同步
    Admstor
        28
    Admstor  
       15 天前
    @cassidy0134 你这个问题有个解决方法

    不用 WPS ,换成 office ,如果迫于无奈,例如工作原因用
    工作用的 WPS 一个虚拟机,自己平时少量的文档需求,在主力机上 office 365 完事

    都已经上虚拟机了,多几个虚拟机也就是多增加一点存储成本而已
    不同的事情放不同的虚拟机用

    就还是那句话
    因为隐私侵犯无处不在,你必须付出很多成本才能维护自己的隐私安全
    Jacobson
        29
    Jacobson  
       15 天前
    @cassidy0134 #10 不是哈,就是专门开一个虚拟机,装个 WIN10 ,然后把国产流氓都扔里面挂着,可以通过 RemoteAPP 这个软件,把虚拟机里的软件远程挂载到本地电脑来使用,就不用每次都进 rdp 里看信息了
    WhatTheBridgeSay
        30
    WhatTheBridgeSay  
       15 天前
    @bitfly #20 我觉得向日葵 ToDesk 之流也不干净....RustDesk 看起来不错但是需要自建服务器
    levelworm
        31
    levelworm  
       15 天前 via Android
    @drymonfidelia #25

    进程注入我记得是小十年前的技术了,是很难防还是又进化了?
    frankilla
        32
    frankilla  
       15 天前 via iPhone
    让我想起某些手机 app ,各种权限都想要。
    mohumohu
        33
    mohumohu  
       15 天前
    工具不错
    dazebat
        34
    dazebat  
       15 天前
    @wu67 有些程序,虚拟机直接不给运行或者运行出错,咋整
    mohumohu
        35
    mohumohu  
       15 天前
    @dazebat 有专门过虚拟机的虚拟机,就是打包好的系统或者网上的教程做。不过我现在懒得搞了,谁有打包好的可以发一个。
    gammabeta
        36
    gammabeta  
       15 天前 via iPhone
    @Jacobson 请问您用的虚拟机是什么组合 vb/vm/hyperv + win10/server? 想找个比较流畅的配置
    wu67
        37
    wu67  
       15 天前
    @dazebat 这我就不懂了. 这种非要分开的话我建议是工作的电脑装乱七八糟的, 自己的个人电脑只装信任的、只用来上网查干活资料.
    sdxe2v
        38
    sdxe2v  
       14 天前
    请问 Sandboxie-Plus 对那些国产流氓软件的限制、防护效果如何?例如微信、QQ 、百度阿里网盘等,谢谢先🙏🏻️
    zed1018
        39
    zed1018  
       14 天前
    @yagamil sandboxie
    Jacobson
        41
    Jacobson  
       14 天前
    @gammabeta #36 家里三台服务器,都是 server 2022+hyper-v ( N100 、5825U 、12400 ),主力机用的是 server 2025 (为了大小核~)。所有硬盘全部是单盘直通,没做 Raid ,相互交叉备份。
    MoeMoesakura
        42
    MoeMoesakura  
       14 天前 via Android
    @murmur 在很早之前我就给腾讯扔进一个接了 frp 的 kvm 家里云了
    一个空荡荡的 win7 再怎么扫也只有 legal content 也碰不到半点外面的东西吧
    gammabeta
        43
    gammabeta  
       13 天前
    确实,试了下 vmware+winserver2022 里开国产软件,开机后台自启动虚机。remoteapp 在宿主机开应用相当流畅。做好隔离后虚机里还能再装个 360 。
    kyonn
        44
    kyonn  
       13 天前
    @isSamle 好东西啊, 请问下这种从 linux 下起的 windows docker, 有什么限制没?? 能不能配合其他人说的 remoteapp 一起使用呢?
    isSamle
        45
    isSamle  
       13 天前
    跟正常电脑差不多吧,看机器性能 @kyonn
    kyonn
        46
    kyonn  
       13 天前
    @isSamle 搜了下, 好像是借用宿主机的 kvm 能力? 如果是这样的话, 只多一层 docker 开销的话性能应该还行, 相当于把资源分配管理从 kvm 转移到了 docker.
    werls
        47
    werls  
       13 天前
    某种意义上说, ”水深火热“ 才是 V 站的精品贴。
    hayala
        48
    hayala  
       12 天前
    ![undefined]( https://i.111666.best/image/HKpHGEzpgPCZI0Fp1xKgpm.png)

    这下国外的软件也信不过了
    hayala
        49
    hayala  
       12 天前
    ![undefined]( https://i.111666.best/image/HKpHGEzpgPCZI0Fp1xKgpm.png)

    图怎么没发出来,我再试试
    liupengjs
        50
    liupengjs  
       12 天前
    开个 ubuntu 可视化系统
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2508 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:56 · PVG 12:56 · LAX 20:56 · JFK 23:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.