敏感文件读写预警工具——基于Windows Defender勒索软件防护功能

Windows系统自带杀软,Windows Defender中,包含了很多不为人知的功能。我们今天用到的勒索软件防护[1](也叫受控文件夹访问,Controlled Folder Access),就是一个非常有意义的小功能。这个功能在Windows 10、Windows Server 2019全系列可用,但只有在系统里没有安装其他杀毒软件时,才能够看到这个选项。

总体来说,这个功能做的事情就是对用户指定和系统预置的几个目录[2]进行监控,只允许白名单里的程序修改其内容,其他程序读文件不受限制,写文件时就会报错,同时Windows Defender会对非白名单程序的修改行为进行告警,在通知中心弹一个窗。可以当一个低配版的火绒剑用 😉

本文不教大家怎么开启这个功能,这个官方文档[3]都写过了,再写没意思。本文的目的主要有两个。

  1. 更详细的告警信息——弹窗的时候就说明白,哪个进程访问了哪个目录。默认的弹窗只说“Windows阻止了一次访问”,不告诉我们哪个进程,不告诉我们对哪个目录的操作。如果要看到详情,就要点到Defender的界面,点点点好几回,再确认好几次UAC弹框,体验极差。而且,Windows Server中不提醒!不提醒!不提醒!
  2. 更详细的告警历史——一个列表就能看到,哪个进程之前访问过哪个目录。Defender的界面里,点开每一条详情就需要点一个UAC弹框,很安全,但是体验还是极差!而且,查看历史记录这个功能只有Windows 10里有,Windows Server的Defender界面中连阻止历史记录这个菜单都没有!
  3. 到这里我们可以得出一个结论,我就是那个把Windows Server 2019装在日常电脑上的蠢B……

本文实现这两个目标的方式,是通过在Windows系统事件中,截获关于Windows Defender“受控文件夹访问”部分的告警事件,再通过PowerShell脚本将事件详情推送到桌面上,这样恶意进程的操作我们就能够实时看到了。

V2Ray 免翻接收谷歌 FCM 推送

从维修点回来的一加,脸上布满着岁月的痕迹,身体也一天不如一天了。打开电池使用情况,耗电大家除了手机屏幕谷歌服务就是想删又不能删的超级费电宇宙无敌旋转爆炸垃圾手机QQ。

绿色守护过来!给我拖出去!

好了。现在问题来了。怎么收消息呢?

我们都知道第三方 QQ 推送有两种方案,一个是据说支持Nougat通知特性、利用谷歌 Firebase 推送消息的 FCM-For-Mojo ,还有一个就是用老版 GCM 但是同时支持华为、小米等国产推送 SDK 的 GcmForMojo (这项目连个README都没有?!)

纠结了一秒作为颜控当然选界面好看的啦

那么问题又来了。我总不能上个Q还要成天到晚挂梯子吧?——我要把这个解决了的话,还有一个好处,其他使用 FCM Push 的软件可以一同受益,Qng内生活就会很轻松了。

网上教程传统的思路都会告诉你,装个haproxy呀,装个nginx呀,你得有个国外VPS呀,巴拉巴拉巴……不过为了个QQ没必要搞这么多幺蛾子,而且好线路的VPS是真的贵。鉴于我的机器都是国内的且有备案,使用成本反而更低。所以在国内架一个 MojoQQ 服务,并让他同时作为 FCM 服务端与安卓 FCM 客户端的反向代理,大概是最好的选择了。

OpenWRT/LEDE 开启免 NAT 全局 IPv6

为了一个IPv6已经不知道折腾了几宿。今天终于完全搞定了,IPv6本来就不应该有什么NAT6或者radvd转发之类的奇技淫巧,但是作为基础设施,稳定是第一要素。因为软件实现的bug导致网络不稳定,真的是为了新技术得不偿失。

不过还是得说,IPv6这种东西最好还是赶紧学学。毕竟上面翻了牌子。而且摆脱 NAT 的纠缠将为以后的入侵渗透提供很多便利,更不用提以后是物联网的天下,看门狗的世界成为现实也不一定呢 😊

契机当然是国x院的通知,突破是LEDE分支odhcpd对bug的修复[1]。当然还有某些玩家的黑科技修复方法[2]。现在已经达到开机连接完全可用的状态了,也不用开机重启network或者重启odhcpd了。下面说说方法。

免AOSP源码树编译安卓内核

为了让老 Note4 发挥余热,去掉该死的SELinux,编译一下内核,macOS编译不了,缺少elf.h,查查解决方案蛮麻烦的,干脆新开个ubuntu,顺便试用一下据说不错的苹果Hypervisor framework【性能+10,内存占用-50】。

传统交叉编译时需要checkout整个20多个G的安卓源码库,即使指定了shallow clone也要17、8G,本文将通过一些repo命令的黑魔法扔掉用不到的分支和项目,获得一个内核编译的轻量环境。

Android 7.1.1 消除网络报错小叉叉的N种方法

Marshmallow及以前的版本,修改 captive_portal_server 的方法尽人皆知,在Nougat版本更新后这个方法就没什么卵用了。原因呢,简单来讲,就是检测网络连接的那段代码被重!写!了!

碎屏手机改造移动路由

换了手机后,想专门配一个大流量的上网卡,良心联通15G/50元,但新办上网卡只有micro卡,而且新手机卡槽已然满了,一个4G卡托要一百多,还要插我那个电池垃圾不行的移动路由……怎么说我那破手机还是一个卡槽全网通啊!(而且心疼钱。)想想用这破手机实现也不难,无非是开机打开热点而已了。

开始从固件上入手,不过垃圾国行特供版少有开源固件,还要熟悉安卓启动机制,卒。转而寻求软件实现。发现也不难,从商店里下了几个热门的安卓自动化软件,简单说一下自己的体验。

在这之前,要先恢复手机到最佳状态。格掉吧!

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×