V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bler
V2EX  ›  信息安全

你们是真的秀,把我帖子整到水深火热中去,开个新帖总结一下软件开后门的一些应对措施

  •  5
     
  •   bler · 8 天前 · 6591 次点击

    你们是真的秀,把我帖子整到水深火热中去,开个新帖总结一下软件开后门的一些应对措施

    取之于 v 友,回馈于 v 友

    1 、先说一下检测工具:

    https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

    https://github.com/BlackINT3/OpenArk

    下了一个 process monitor ,小试一波,就发现 wps 在读取我的注册表,读的还是 openvpn 的的证书位置,因为我是通过 openvpn 组网的,wps 应该是扫描进程扫到了,就一直读取我的注册表,真的难顶,这些大厂的嘴脸也是毫不掩饰。

    2 、一些应对方案:

    1. 看软件介绍内容,越规范,可信度越高。
    2. 能断网的,断网用。
    3. 没法断网,只是扫硬盘进程的,扔虚拟机用。
    4. ssh 这类,选择顺序开源>闭源,口碑好用户多优先。闭源和口碑用户量,选后者。

    小作者有可疑操作的,就尽量不要用了,大厂你没办法,既然反抗不了就听之任之吧

    3 、一些推荐的开源软件:

    远程连接工具:

    还有 finalshell 我也不打算用了,服务器密钥这玩意儿还是不要用这种 oneman 软件了, 之前就是用的 xshell ,贪图方便用了 finalshell ,生命不息,折腾不止啊

    待定替代方案: https://github.com/gnmyt/Nexterm?tab=readme-ov-file 这个软件还没试过自己编译,不知道怎么样。

    桌面整理工具:

    https://github.com/fanchenio/DawnLauncher

    刚下载源码编译过了,能够编译成功 有免费版和收费版,发现免费版也符合我的需求了,收费版 34 块钱,也不贵,虽然用的免费版自己编译的,也赞助了作者一波,不能完全白嫖,不然以后找个好用点的东西也找不到

    4 、其他一些非开源工具(不知道怎么样)

    NetLimiter

    www.wgstart.com

    50 条回复    2024-12-16 18:46:17 +08:00
    cassidy0134
        1
    cassidy0134  
       8 天前
    我在想有没有办法把 windows 进程隔离,就像 docker container ,随便程序怎么扫,不知道有没有这样的技术/软件
    yagamil
        2
    yagamil  
       8 天前
    windows 有没有那种像安卓那样的权限管理软件? 比如限制连网
    exch4nge
        3
    exch4nge  
       8 天前
    win10 store 里的 app 之前是沙箱隔离的,现在大部分不是了。此外 Sandboxie 可以用来隔离一部分软件。或者用 Windows Sandbox 一次性沙箱。
    wu67
        4
    wu67  
       8 天前
    一个比较神经的操作: 你可以把你所有不信任的程序丢虚拟机里面运行. 重要的资料只留在宿主机里面, 虚拟机里面就让他养蛊算了.
    Jacobson
        5
    Jacobson  
       8 天前
    @wu67 #4 +1,这几年都这么干的
    cassidy0134
        6
    cassidy0134  
       8 天前
    @wu67 #4
    @Jacobson #5

    这样会不会用一段时间发现虚拟机变成主机器了,然后又变成混杂状态?
    wu67
        7
    wu67  
       8 天前
    @cassidy0134 无所谓主不主, 就是比较典型的极端分割主义, 只要宿主机‘干净’的做法. 这样即使虚拟机内第三方软件搞事情, 你也不会损失你真正重要的资料、信息和密码.
    Jacobson
        8
    Jacobson  
       8 天前   ❤️ 3
    @cassidy0134 #6

    不会的.

    其实说起来主要还是 QQ 微信 旺旺 WPS 这类常用的让我觉得可能会搜集信息的国产软件,然后用 RmoteAPP 挂载到本机使用.

    不仅不会乱,反而越用分的越清晰的
    cassidy0134
        9
    cassidy0134  
       8 天前
    @wu67 #7 我是说会不会时间长了虚拟机里慢慢产生了新的重要的资料和信息?

    比如,op 抓出来 wps 会扫描 openvpn 相关的注册表,此时把 wps 放进 vm ;过段时间 xx 程序会扫盘,放进 vm ;然后 wps 在用了一段时间后产生了各种文档,这些文档又被在里面的 xx 程序读到,此时反而 vm 外是安全的。

    有没有什么程序可以做到像是 android 里存储隔离( storage scope )那种方式?
    cassidy0134
        10
    cassidy0134  
       8 天前
    @Jacobson #8 是说每个软件一个 vm 吗?还是指有什么类似于容器一样的东西可以做到隔离?
    jinliming2
        12
    jinliming2  
       8 天前 via iPhone   ❤️ 1
    @cassidy0134 #9 看使用习惯吧,你可以把 wps 程序放进去,但是要处理的文件仅在需要的时候临时放进去,编辑完立马移动到宿主。虚拟机一定是可以定期还原快照的状态,数据总是临时存放。

    而你编辑文件的那一个临时态,确实存在 xx 会扫描到的情况,这个应该就不好避免了,只能程序间完全隔离,一个程序一个环境。
    Citrullus
        13
    Citrullus  
       8 天前
    @yagamil 其他不清楚,我用火绒限速,直接设置到 0
    suofeiya
        14
    suofeiya  
       8 天前
    @cassidy0134 #1 windows 沙盒?,不过不是进程级的.
    murmur
        15
    murmur  
       8 天前
    楼主建议看看心理医生或者肉身国外,腾讯产品都是刚需还担心后门,哎
    yanqiyu
        16
    yanqiyu  
       8 天前
    Linux 用户:腾讯的 QQ 和微信不但读不到我的文件,就算我要发文件都得提前把文件拷贝到特定的路径下微信才看得见
    codehz
        17
    codehz  
       8 天前
    @cassidy0134 TLDR:没有 gui 支持,我之前试过在 silo 里启动带有窗口的程序,发现那部分完全没做隔离,只能要么全有,要么全无(无窗口)
    catamaran
        18
    catamaran  
       8 天前
    @yagamil 防火墙啊,很简单的事情,可以根据程序,协议,端口控制
    sun82kg
        19
    sun82kg  
       8 天前
    扫就扫吧,又怎么样呢
    bitfly
        20
    bitfly  
       8 天前 via Android   ❤️ 2
    我就是实体机不运行任何国产软件,隐私是一方面 另外一方面就是有强迫症 不喜欢这些软件在后台定期频繁高小动作 消耗我的 cpu 和无限读写硬盘,必用大厂比如微信 qq 丢云服务器挂着就好了 虚拟机都懒得给他,虚拟机里就一个向日葵 时不时远程用。
    用着非常舒畅 电脑十分干净
    AwenWalker
        21
    AwenWalker  
       8 天前
    @yanqiyu linux 要搞事情扫盘更容易好吧,用 flatpak 这种带沙箱机制的才有隔离效果,但是如果设置不当也是会被绕过的
    catazshadow
        22
    catazshadow  
       7 天前
    信不过任何国产软件,毕竟有拼多多黑手机案例。连安卓沙箱都管不住更何况 windows

    国产软件全都丢到虚拟机里,问就是不信任
    levelworm
        23
    levelworm  
       7 天前 via Android
    Sysinternal 还有 process hacker 可以玩,也挺有意思的。
    SmithJohn
        24
    SmithJohn  
       7 天前
    最好的其实是多个虚拟机分别隔离,宿主机只装虚拟机软件.
    drymonfidelia
        25
    drymonfidelia  
       7 天前   ❤️ 1
    除了物理隔离+内网隔离 否则有的是办法绕过
    各种本机防火墙别考虑了,Windows 下没有管理员权限的程序也能随意把代码注入别的进程执行,对想干坏事的有一点点技术的人就没任何效果
    Admstor
        27
    Admstor  
       7 天前
    我早就国产软件丢虚拟机了。。。

    微信这类是单独的一个虚拟机,里面就一个微信和浏览器,马化腾张小龙你随便扫描
    其他工具类单独一个虚拟机,对对,迅雷百度你们慢慢打
    高危类,未使用过的一个虚拟机,用完直接镜像还原,部分可能存在穿透逃逸风险的,虚拟机也会直接销毁

    主力机就是一个终端,全部远程桌面链接过去
    部分虚拟机用 syncthing 进行,单向/双向同步
    Admstor
        28
    Admstor  
       7 天前
    @cassidy0134 你这个问题有个解决方法

    不用 WPS ,换成 office ,如果迫于无奈,例如工作原因用
    工作用的 WPS 一个虚拟机,自己平时少量的文档需求,在主力机上 office 365 完事

    都已经上虚拟机了,多几个虚拟机也就是多增加一点存储成本而已
    不同的事情放不同的虚拟机用

    就还是那句话
    因为隐私侵犯无处不在,你必须付出很多成本才能维护自己的隐私安全
    Jacobson
        29
    Jacobson  
       7 天前
    @cassidy0134 #10 不是哈,就是专门开一个虚拟机,装个 WIN10 ,然后把国产流氓都扔里面挂着,可以通过 RemoteAPP 这个软件,把虚拟机里的软件远程挂载到本地电脑来使用,就不用每次都进 rdp 里看信息了
    WhatTheBridgeSay
        30
    WhatTheBridgeSay  
       7 天前
    @bitfly #20 我觉得向日葵 ToDesk 之流也不干净....RustDesk 看起来不错但是需要自建服务器
    levelworm
        31
    levelworm  
       7 天前 via Android
    @drymonfidelia #25

    进程注入我记得是小十年前的技术了,是很难防还是又进化了?
    frankilla
        32
    frankilla  
       7 天前 via iPhone
    让我想起某些手机 app ,各种权限都想要。
    mohumohu
        33
    mohumohu  
       7 天前
    工具不错
    dazebat
        34
    dazebat  
       7 天前
    @wu67 有些程序,虚拟机直接不给运行或者运行出错,咋整
    mohumohu
        35
    mohumohu  
       7 天前
    @dazebat 有专门过虚拟机的虚拟机,就是打包好的系统或者网上的教程做。不过我现在懒得搞了,谁有打包好的可以发一个。
    gammabeta
        36
    gammabeta  
       7 天前 via iPhone
    @Jacobson 请问您用的虚拟机是什么组合 vb/vm/hyperv + win10/server? 想找个比较流畅的配置
    wu67
        37
    wu67  
       7 天前
    @dazebat 这我就不懂了. 这种非要分开的话我建议是工作的电脑装乱七八糟的, 自己的个人电脑只装信任的、只用来上网查干活资料.
    sdxe2v
        38
    sdxe2v  
       7 天前
    请问 Sandboxie-Plus 对那些国产流氓软件的限制、防护效果如何?例如微信、QQ 、百度阿里网盘等,谢谢先🙏🏻️
    zed1018
        39
    zed1018  
       7 天前
    @yagamil sandboxie
    Jacobson
        41
    Jacobson  
       6 天前
    @gammabeta #36 家里三台服务器,都是 server 2022+hyper-v ( N100 、5825U 、12400 ),主力机用的是 server 2025 (为了大小核~)。所有硬盘全部是单盘直通,没做 Raid ,相互交叉备份。
    MoeMoesakura
        42
    MoeMoesakura  
       6 天前 via Android
    @murmur 在很早之前我就给腾讯扔进一个接了 frp 的 kvm 家里云了
    一个空荡荡的 win7 再怎么扫也只有 legal content 也碰不到半点外面的东西吧
    gammabeta
        43
    gammabeta  
       6 天前
    确实,试了下 vmware+winserver2022 里开国产软件,开机后台自启动虚机。remoteapp 在宿主机开应用相当流畅。做好隔离后虚机里还能再装个 360 。
    kyonn
        44
    kyonn  
       6 天前
    @isSamle 好东西啊, 请问下这种从 linux 下起的 windows docker, 有什么限制没?? 能不能配合其他人说的 remoteapp 一起使用呢?
    isSamle
        45
    isSamle  
       6 天前
    跟正常电脑差不多吧,看机器性能 @kyonn
    kyonn
        46
    kyonn  
       6 天前
    @isSamle 搜了下, 好像是借用宿主机的 kvm 能力? 如果是这样的话, 只多一层 docker 开销的话性能应该还行, 相当于把资源分配管理从 kvm 转移到了 docker.
    werls
        47
    werls  
       5 天前
    某种意义上说, ”水深火热“ 才是 V 站的精品贴。
    hayala
        48
    hayala  
       5 天前
    ![undefined]( https://i.111666.best/image/HKpHGEzpgPCZI0Fp1xKgpm.png)

    这下国外的软件也信不过了
    hayala
        49
    hayala  
       5 天前
    ![undefined]( https://i.111666.best/image/HKpHGEzpgPCZI0Fp1xKgpm.png)

    图怎么没发出来,我再试试
    liupengjs
        50
    liupengjs  
       5 天前
    开个 ubuntu 可视化系统
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2529 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:49 · PVG 18:49 · LAX 02:49 · JFK 05:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.