在测（po）试（jie）软件时，我最不愿意遇到的情况，就是目标软件有联网验证的功能。说要改代码吧，又不知道代码里在哪儿有暗桩，改掉所有的输入输出点也麻烦的很。说要断它的网吧，又不是所有软件都提供离线激活的功能。今天我介绍一种四两拨千斤的联网验证绕过方式，不用断网，字节码改动少，外加Python不到100行。不流失，不蒸发，零浪费^[1]。

Windows系统自带杀软，Windows Defender中，包含了很多不为人知的功能。我们今天用到的勒索软件防护^[1]（也叫受控文件夹访问，Controlled Folder Access），就是一个非常有意义的小功能。这个功能在Windows 10、Windows Server 2019全系列可用，但只有在系统里没有安装其他杀毒软件时，才能够看到这个选项。

总体来说，这个功能做的事情就是对用户指定和系统预置的几个目录^[2]进行监控，只允许白名单里的程序修改其内容，其他程序读文件不受限制，写文件时就会报错，同时Windows Defender会对非白名单程序的修改行为进行告警，在通知中心弹一个窗。可以当一个低配版的火绒剑用 😉

本文不教大家怎么开启这个功能，这个官方文档^[3]都写过了，再写没意思。本文的目的主要有两个。

1. 更详细的告警信息——弹窗的时候就说明白，哪个进程访问了哪个目录。默认的弹窗只说“Windows阻止了一次访问”，不告诉我们哪个进程，不告诉我们对哪个目录的操作。如果要看到详情，就要点到Defender的界面，点点点好几回，再确认好几次UAC弹框，体验极差。而且，Windows Server中不提醒！不提醒！不提醒！
2. 更详细的告警历史——一个列表就能看到，哪个进程之前访问过哪个目录。Defender的界面里，点开每一条详情就需要点一个UAC弹框，很安全，但是体验还是极差！而且，查看历史记录这个功能只有Windows 10里有，Windows Server的Defender界面中连阻止历史记录这个菜单都没有！
3. 到这里我们可以得出一个结论，我就是那个把Windows Server 2019装在日常电脑上的蠢B……

本文实现这两个目标的方式，是通过在Windows系统事件中，截获关于Windows Defender“受控文件夹访问”部分的告警事件，再通过PowerShell脚本将事件详情推送到桌面上，这样恶意进程的操作我们就能够实时看到了。

倒不是找不着准考证，不过成绩公布在假期里面就有点蛋疼了。［白眼］原来找不着准考证可以去一个神奇的网站，不过这两天想去查的时候，那个网站已经关停露出云服务商的404了。看那个项目的 issue 里面，似乎也是6月成绩放出来时候99ss顺便更新了，于是这个网站也不好使了。没办法自己下了99客服客户端，体验了一番，顺便搞掉这个充满铜臭味的软件做成网页版，方便普罗大众。