V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bler
V2EX  ›  信息安全

你们是真的秀,把我帖子整到水深火热中去,开个新帖总结一下软件开后门的一些应对措施

  •  3
     
  •   bler · 17 小时 10 分钟前 · 3844 次点击

    你们是真的秀,把我帖子整到水深火热中去,开个新帖总结一下软件开后门的一些应对措施

    取之于 v 友,回馈于 v 友

    1 、先说一下检测工具:

    https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

    https://github.com/BlackINT3/OpenArk

    下了一个 process monitor ,小试一波,就发现 wps 在读取我的注册表,读的还是 openvpn 的的证书位置,因为我是通过 openvpn 组网的,wps 应该是扫描进程扫到了,就一直读取我的注册表,真的难顶,这些大厂的嘴脸也是毫不掩饰。

    2 、一些应对方案:

    1. 看软件介绍内容,越规范,可信度越高。
    2. 能断网的,断网用。
    3. 没法断网,只是扫硬盘进程的,扔虚拟机用。
    4. ssh 这类,选择顺序开源>闭源,口碑好用户多优先。闭源和口碑用户量,选后者。

    小作者有可疑操作的,就尽量不要用了,大厂你没办法,既然反抗不了就听之任之吧

    3 、一些推荐的开源软件:

    远程连接工具:

    还有 finalshell 我也不打算用了,服务器密钥这玩意儿还是不要用这种 oneman 软件了, 之前就是用的 xshell ,贪图方便用了 finalshell ,生命不息,折腾不止啊

    待定替代方案: https://github.com/gnmyt/Nexterm?tab=readme-ov-file 这个软件还没试过自己编译,不知道怎么样。

    桌面整理工具:

    https://github.com/fanchenio/DawnLauncher

    刚下载源码编译过了,能够编译成功 有免费版和收费版,发现免费版也符合我的需求了,收费版 34 块钱,也不贵,虽然用的免费版自己编译的,也赞助了作者一波,不能完全白嫖,不然以后找个好用点的东西也找不到

    4 、其他一些非开源工具(不知道怎么样)

    NetLimiter

    www.wgstart.com

    35 条回复    2024-12-14 00:38:23 +08:00
    cassidy0134
        1
    cassidy0134  
       16 小时 50 分钟前
    我在想有没有办法把 windows 进程隔离,就像 docker container ,随便程序怎么扫,不知道有没有这样的技术/软件
    yagamil
        2
    yagamil  
       16 小时 45 分钟前
    windows 有没有那种像安卓那样的权限管理软件? 比如限制连网
    exch4nge
        3
    exch4nge  
       16 小时 41 分钟前
    win10 store 里的 app 之前是沙箱隔离的,现在大部分不是了。此外 Sandboxie 可以用来隔离一部分软件。或者用 Windows Sandbox 一次性沙箱。
    wu67
        4
    wu67  
       15 小时 44 分钟前
    一个比较神经的操作: 你可以把你所有不信任的程序丢虚拟机里面运行. 重要的资料只留在宿主机里面, 虚拟机里面就让他养蛊算了.
    Jacobson
        5
    Jacobson  
       15 小时 0 分钟前
    @wu67 #4 +1,这几年都这么干的
    cassidy0134
        6
    cassidy0134  
       14 小时 46 分钟前
    @wu67 #4
    @Jacobson #5

    这样会不会用一段时间发现虚拟机变成主机器了,然后又变成混杂状态?
    wu67
        7
    wu67  
       14 小时 44 分钟前
    @cassidy0134 无所谓主不主, 就是比较典型的极端分割主义, 只要宿主机‘干净’的做法. 这样即使虚拟机内第三方软件搞事情, 你也不会损失你真正重要的资料、信息和密码.
    Jacobson
        8
    Jacobson  
       14 小时 39 分钟前   ❤️ 2
    @cassidy0134 #6

    不会的.

    其实说起来主要还是 QQ 微信 旺旺 WPS 这类常用的让我觉得可能会搜集信息的国产软件,然后用 RmoteAPP 挂载到本机使用.

    不仅不会乱,反而越用分的越清晰的
    cassidy0134
        9
    cassidy0134  
       14 小时 36 分钟前
    @wu67 #7 我是说会不会时间长了虚拟机里慢慢产生了新的重要的资料和信息?

    比如,op 抓出来 wps 会扫描 openvpn 相关的注册表,此时把 wps 放进 vm ;过段时间 xx 程序会扫盘,放进 vm ;然后 wps 在用了一段时间后产生了各种文档,这些文档又被在里面的 xx 程序读到,此时反而 vm 外是安全的。

    有没有什么程序可以做到像是 android 里存储隔离( storage scope )那种方式?
    cassidy0134
        10
    cassidy0134  
       14 小时 35 分钟前
    @Jacobson #8 是说每个软件一个 vm 吗?还是指有什么类似于容器一样的东西可以做到隔离?
    jinliming2
        12
    jinliming2  
       14 小时 1 分钟前 via iPhone   ❤️ 1
    @cassidy0134 #9 看使用习惯吧,你可以把 wps 程序放进去,但是要处理的文件仅在需要的时候临时放进去,编辑完立马移动到宿主。虚拟机一定是可以定期还原快照的状态,数据总是临时存放。

    而你编辑文件的那一个临时态,确实存在 xx 会扫描到的情况,这个应该就不好避免了,只能程序间完全隔离,一个程序一个环境。
    Citrullus
        13
    Citrullus  
       13 小时 47 分钟前
    @yagamil 其他不清楚,我用火绒限速,直接设置到 0
    suofeiya
        14
    suofeiya  
       13 小时 41 分钟前
    @cassidy0134 #1 windows 沙盒?,不过不是进程级的.
    murmur
        15
    murmur  
       13 小时 29 分钟前
    楼主建议看看心理医生或者肉身国外,腾讯产品都是刚需还担心后门,哎
    yanqiyu
        16
    yanqiyu  
       13 小时 19 分钟前
    Linux 用户:腾讯的 QQ 和微信不但读不到我的文件,就算我要发文件都得提前把文件拷贝到特定的路径下微信才看得见
    codehz
        17
    codehz  
       12 小时 44 分钟前
    @cassidy0134 TLDR:没有 gui 支持,我之前试过在 silo 里启动带有窗口的程序,发现那部分完全没做隔离,只能要么全有,要么全无(无窗口)
    catamaran
        18
    catamaran  
       12 小时 40 分钟前
    @yagamil 防火墙啊,很简单的事情,可以根据程序,协议,端口控制
    sun82kg
        19
    sun82kg  
       12 小时 40 分钟前
    扫就扫吧,又怎么样呢
    bitfly
        20
    bitfly  
       12 小时 34 分钟前 via Android   ❤️ 1
    我就是实体机不运行任何国产软件,隐私是一方面 另外一方面就是有强迫症 不喜欢这些软件在后台定期频繁高小动作 消耗我的 cpu 和无限读写硬盘,必用大厂比如微信 qq 丢云服务器挂着就好了 虚拟机都懒得给他,虚拟机里就一个向日葵 时不时远程用。
    用着非常舒畅 电脑十分干净
    AwenWalker
        21
    AwenWalker  
       12 小时 17 分钟前
    @yanqiyu linux 要搞事情扫盘更容易好吧,用 flatpak 这种带沙箱机制的才有隔离效果,但是如果设置不当也是会被绕过的
    catazshadow
        22
    catazshadow  
       10 小时 51 分钟前
    信不过任何国产软件,毕竟有拼多多黑手机案例。连安卓沙箱都管不住更何况 windows

    国产软件全都丢到虚拟机里,问就是不信任
    levelworm
        23
    levelworm  
       10 小时 39 分钟前 via Android
    Sysinternal 还有 process hacker 可以玩,也挺有意思的。
    SmithJohn
        24
    SmithJohn  
       10 小时 19 分钟前
    最好的其实是多个虚拟机分别隔离,宿主机只装虚拟机软件.
    drymonfidelia
        25
    drymonfidelia  
       10 小时 12 分钟前   ❤️ 1
    除了物理隔离+内网隔离 否则有的是办法绕过
    各种本机防火墙别考虑了,Windows 下没有管理员权限的程序也能随意把代码注入别的进程执行,对想干坏事的有一点点技术的人就没任何效果
    Admstor
        27
    Admstor  
       8 小时 17 分钟前
    我早就国产软件丢虚拟机了。。。

    微信这类是单独的一个虚拟机,里面就一个微信和浏览器,马化腾张小龙你随便扫描
    其他工具类单独一个虚拟机,对对,迅雷百度你们慢慢打
    高危类,未使用过的一个虚拟机,用完直接镜像还原,部分可能存在穿透逃逸风险的,虚拟机也会直接销毁

    主力机就是一个终端,全部远程桌面链接过去
    部分虚拟机用 syncthing 进行,单向/双向同步
    Admstor
        28
    Admstor  
       8 小时 12 分钟前
    @cassidy0134 你这个问题有个解决方法

    不用 WPS ,换成 office ,如果迫于无奈,例如工作原因用
    工作用的 WPS 一个虚拟机,自己平时少量的文档需求,在主力机上 office 365 完事

    都已经上虚拟机了,多几个虚拟机也就是多增加一点存储成本而已
    不同的事情放不同的虚拟机用

    就还是那句话
    因为隐私侵犯无处不在,你必须付出很多成本才能维护自己的隐私安全
    Jacobson
        29
    Jacobson  
       7 小时 30 分钟前
    @cassidy0134 #10 不是哈,就是专门开一个虚拟机,装个 WIN10 ,然后把国产流氓都扔里面挂着,可以通过 RemoteAPP 这个软件,把虚拟机里的软件远程挂载到本地电脑来使用,就不用每次都进 rdp 里看信息了
    WhatTheBridgeSay
        30
    WhatTheBridgeSay  
       7 小时 11 分钟前
    @bitfly #20 我觉得向日葵 ToDesk 之流也不干净....RustDesk 看起来不错但是需要自建服务器
    levelworm
        31
    levelworm  
       7 小时 11 分钟前 via Android
    @drymonfidelia #25

    进程注入我记得是小十年前的技术了,是很难防还是又进化了?
    frankilla
        32
    frankilla  
       6 小时 50 分钟前 via iPhone
    让我想起某些手机 app ,各种权限都想要。
    mohumohu
        33
    mohumohu  
       6 小时 19 分钟前
    工具不错
    dazebat
        34
    dazebat  
       6 小时 15 分钟前
    @wu67 有些程序,虚拟机直接不给运行或者运行出错,咋整
    mohumohu
        35
    mohumohu  
       6 小时 10 分钟前
    @dazebat 有专门过虚拟机的虚拟机,就是打包好的系统或者网上的教程做。不过我现在懒得搞了,谁有打包好的可以发一个。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   826 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:48 · PVG 06:48 · LAX 14:48 · JFK 17:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.