@wevsty
Minifilter 看上去确实可以拦截到 IRP_MJ_CREATE ……这一点一开始我理解错了。

开了 Process Monitor，它的确拦截到了打开\Device\Harddisk0\DR0 的 IRP_MJ_CREATE。
PCHunter 的文件系统->微端口过滤器可以看到属于 PROCMON23.SYS 的项目，包括 IRP_MJ_CREATE PreFun、IRP_MJ_CREATE PostFun 等。

不过，调用链好像和您说的不太一样？
Process Monitor 的内核调用栈看起来是这样的：
FLTMGR.SYS!FltpPerformPreCallbacks
FLTMGR.SYS!FltpPassThroughInternal
FLTMGR.SYS!FiltpCreate
ntoskrnl!IopParseDevice
ntoskrnl!ObpLookupObjectName
ntoskrnl!ObOpenObjectByNameEx
ntoskrnl!IopCreateFile
ntoskrnl!NtCreateFile
ntoskrnl!KiSystemServiceCopyEnd
下面就是用户层了：
ntdll!NtCreateFile
KernelBase.dll!CreateFileInternal
KernelBase.dll!CreateFileW
KernelBase.dll!CreateFileA
……

结合这里的一张描述 Filter Manager 的图……
http://bobao.360.cn/learning/detail/3403.html
猜测到这里可能只是执行了 Minifilter 的 PreOperation，还没真正给下层驱动发送 IRP ？

@wevsty
其实还是怪我没说明白……
我说被绕过的是文件系统过滤驱动，不是磁盘设备过滤驱动。它可能拦截不到打开磁盘设备的 IRP 吧？

@wevsty
我自认为大概理解你说的……能“绕过”，说明那个 filter driver 考虑不严谨。
好比一个柜子上有好几个抽屉，其中一个抽屉上锁了，但其实只要抽掉上面没上锁的抽屉，就会发现里面是相通的……

那个 minifilter 是一个恶意 rootkit 驱动，它的目的大概也只是躲过 360 等杀软的扫描而已吧……它还触发了 PatchGuard。
可能写这个 rootkit 驱动的家伙不知道从哪里扒来了代码，只是抱着能跑就好的态度草草了事的。

@mozutaba
LZ 觉得，UAC 管不了“刷量”，这压根不是它的职责范围。

按 LZ 的理解，UAC 的职责范围差不多就是“一个标准用户中毒后系统仍然毫发无损，删除中毒账户就可以重新开始”，至于用户自己作死导致数据丢失、被盗等，那不是 UAC 要管的事儿。
但 UAC 可以帮助用户把关系统管理员特权，可能确实能帮助用户阻挡最危险的内核 rootkit 等威胁。

至于刷量问题，如果软件支持 per user install，那安装的时候其实可以不弹 UAC。
如果不是现在的流氓安装起来都需要管理员特权，我觉得刷安装量是可以完全不打搅 UAC 的……
而且，那个灰色软件可以不刷安装量，只刷点击量啊，这样就不会触发 UAC 了吧……

@ahhui 微软的理想状况是用户看到软件乱弹 UAC 就各种吐槽软件开发商，然后开发商受不了就去改进，适应 UAC。
但实际状况是大家一起吐槽微软的 UAC 就是个逗逼机制，纷纷把它完全关掉。

@ahhui 我说 UAC “做得更多”确实可能产生歧义……我的意思并不是让 Windows 收窄未提权管理员用户的权限，而是说正规的开发者应该好好利用 UAC，在执行敏感操作时提醒用户，而不是像某些软件一样一双击就弹 UAC，不点“是”不给用。
我只是吐槽现在 UAC，正规软件弹，流氓也弹，加在一起，用户能感觉到的就是各种弹，弹个不停……所以很多用户最后只能麻木地点“是”，让 UAC 真的变成没用的东西了……

至于诱导用户关闭杀软之类的，UAC 和杀软都管不了那么宽……

@mozutaba 我觉得很多情况下程序确实不需要弹 UAC 也可以正常安装、运行，但可能是因为抄代码、偷懒等原因，再加上关闭 UAC 实在太容易，所以 UAC 才因为弹得太多而在用户眼中变成了没用的东西。

LZ 认为 UAC 有用的理由：如果恶意代码没有管理员特权，那在补丁打全的情况下，它也很难钻进 ring0、很难提升权限。
这样一来，安全软件依靠自己的高权限就可以轻松秒杀各种恶意代码，只要它能正确检测到恶意代码就可以了。但现在，ring0 的驱动木马、Bootkit 都泛滥了，杀软即使能和它们对抗，也是没完没了的……
至于用户自己的数据和隐私问题，也许可以举这个例子：UAC 虽然管不了一般的键盘记录器，但它可以挡住比较危险的内核级键盘记录器。

@ahhui
我已经打 Linux 下 /dev/sdX 的比方说明过了…… Windows 也允许用户态程序直接打开磁盘扇区。
至于 Everything 的确切工作原理，我也不太懂。但它能绕过内核里的 minifilter，是我亲眼所见的经验。
我说这些，只是想说明 Everything 干的事情已经超出了 NTFS 权限能管得着的范围……

我觉得 UAC 能起的作用明明可以比现在更大。因为滥用管理员特权的程序太多，导致用户提权点到麻木，这个状态是不正常的。正常情况下的确应该是用户看到 UAC 提示就警惕起来，无论是安装一个陌生软件，还是软件执行了一个敏感操作都应该警惕不是么？麻木地点“是”，这种状况是不正常的。
至于 HIPS 频繁弹窗……我觉得这可能是 HIPS 的规则不够完备，也可能说明了 HIPS 的局限性——程序已经跑在内存里，如果拦截敏感操作，你可能很难区分这是正常的行为，还是系统进程被注入劫持“黑化”产生的恶意行为。

@mozutaba 其实我觉得，如果对方真的是恶意碰瓷，用 360 可能也是一样的结局……可能只要有窗口弹出来提示有毒，对方就可以耍流氓，说杀软把文件搞坏了云云……
感觉卡巴在国内知名度也蛮高啊，难道他们不承认卡巴是杀软么……

@mozutaba 我是说，卡巴应该也可以改一下设置，让它别急着把文件杀掉，改成只提示下一步操作吧？这样就可以避免这种疑似碰瓷的问题了……

@ahhui 以前 IE 浏览器是最普及的，现在有开源的 Chromium、Firefox，各家都进来插一脚……
杨竞的解释就是出于兼容性考虑，通过开发插件覆盖市面上各种乱七八糟的浏览器很难，才做了内核里的监视驱动。
不过……我记得 Windows 已经提供了 WinSock 来在用户态实现这个功能，不知道迅雷为什么不用这个。
另外，WinSock 好像早在多年前就因为滥用问题广受诟病了（微软可能又会觉得这锅背得冤啊）……一直到现在，netsh winsock reset 仍然是修电脑必备技能😂

@ahhui 我觉得 Everything 的做法类似于数据恢复工具直接打开\\.\PhysicalDrive0 这样的磁盘设备（换成 Linux 上就是直接打开 /dev/sda 这样的块设备），其实已经超出 NTFS 权限涉及的范畴，所以系统才要求必须有管理员权限才能执行这种操作。
实际上就算 Everything 仍然依赖内核中的 NTFS 驱动，它也可以直接绕过文件系统 minifilter ……

@ahhui Everything 需要提权才能工作，我觉得这是正常现象。如果它不需要安装服务，或者不需要弹 UAC 申请提权就能工作，那标准用户就可以装一个 Everything 来偷窥其他账户的文件了……微软不会犯这种低级错误。

@ahhui
下载工具还真有理由加驱动…… IDM 就搞了一个，把明文 HTTP 的文件下载请求拦下，然后拉起 IDM 主程序。迅雷也这么搞了，知乎杨竞的答案解释过。不过，确实有可能出 bug 影响正常使用，杨竞答案的评论区里说过，这个驱动可能导致 shadowsocks 等软件不正常……

至于关闭 UAC ……我觉得 Windows 生态圈就是这个样子，如果真的把 SecureBoot、DSE 都收紧了，而且不让用户装应用商店之外的东西，那这个系统还能叫 Windows 么……感觉简直变成 iOS 或 Android 翻版了嘛，只是操作方面可能更适合台式机 /笔记本的键鼠而已。

另外，其实我觉得什么时候弹 UAC，应该是软件开发者仔细研究后决定的事情。应该是注册服务 /计划任务来实现需要权限的操作免弹 UAC，但敏感操作仍然需要弹 UAC 请求用户确认。
但现在，开发者的行为本身可能就让用户不爽了，而且不少开发者可能固守着 Win98 时代以来的系统文件随便动的刻板印象（大概就是因为这个，才有人吐槽关闭 UAC 等于回到 Win98 时代？），不愿意适应新系统，现状就是这么蛋疼……

@ahhui Everything 是无视 NTFS 权限的，感觉原理类似于 DiskGenius 直接解析文件系统，连某些在内核里挂钩的 Rootkit 都可以无视。
确实，有些软件要管理员特权是流氓耍过头的表现，比如 UCGuard.sys ……但 Google Chrome 不也搞了个计划任务来静默自动更新么……所以我才觉得虽然安装 /运行时弹 UAC 有流氓嫌疑，但并不能说弹了 UAC 就一定是流氓……
另外，Everything 不需要加载驱动就可以正常工作。

@ahhui 同理，其实如果用户连管理员权限都把守不住，也可以说“已经没有安全可言”了……
但很多个人用户的机器上可能没啥商业秘密，所以，“事后”如何才能迅速发现系统不对劲、如何把恶意软件扫地出门，也是被用户关心的。

@mozutaba
锅是谁的……这个问题果然蛋疼😂
不过感觉这个可以调设置解决吧？

另外，记得在看雪还是哪个论坛里，有人说过 360 离线时基本不杀……

至于 12306 ……可能和 WAPI、国密算法、火星 GPS 坐标一样是中国特色吧。
不过就 12306 来说，用户可能并不是没办法，比如，可以在浏览器里给 12306 加个证书例外，这样访问其他网站也不受影响。

@geelaw
看上去开两个账号好像不能阻止已经搞定本地管理员的入侵者顺藤摸瓜搞定域上的资源？

http://www.freebuf.com/articles/102500.html
（ 1 ）伪造 token
一旦你能以管理员权限访问到一台计算机，你也可以使用其他用户的 token 去访问域管理上的资源。可实现该功能的两个推荐工具是 incognito [1]以及 mimikatz[2]中的“ token::*”命令。

@ahhui
UEFI 的 Bootkit 其实现在也已经有了，鉴于.efi 文件也存放在硬盘上，LZ 感觉地位可能和 MBR Bootkit 类似……
比如 Kon-Boot，可以用 U 盘启动它，绕过开机密码。
SecureBoot 可以阻挡 UEFI Bootkit，不过感觉只有购买品牌机的用户，或者比较有安全意识的用户能受到 SecureBoot 的保护。
LZ 身为外行，感觉要理解 SecureBoot 的信任体系还是挺困难的，无论是电脑城装机小哥还是稍有经验的用户都是这样。所以，很容易想象出：为了重装系统、启动 WinPE 方便等目的而直接关掉 SecureBoot 可能会成为普遍现象……

@ahhui 我觉得目前的确有不少开发者偷懒，一味地申请管理员权限，不过有些应用可能确实需要管理员权限才能正常工作。
比如 Everything，至少需要管理员权限来安装一个服务（不过 LZ 觉得 Everything 这个例子不好，因为 Everything 把 NTFS 权限全给架空了，所以它只适合个人用户使用）。
总之…… LZ 只是觉得不能简单粗暴地以 UAC 弹窗作为耍流氓的判断标准。