参考文章:
一、背景
近期博主“玄道”在其公众号发布文章UCPD.sys再调查:拆解微软是如何把后门留在中国用户的电脑里,根据此文章以及网络上的相关信息,我们可知微软的Windows系统组件 UCPD.sys不仅仅是一个保护用户默认程序设置的驱动,而是一个针对特定区域用户的、具有“后门”性质的监控工具,并带来严重的安全风险。
先介绍一下涉及此次事件的驱动文件:UCPD.sys(User Choice Protection Driver,用户选择保护驱动)是Windows系统中的一个驱动程序。微软官方声称其功能是“保护用户设置的默认应用不被第三方软件随意修改”。
实际上,UCPD.sys被众多网友发现在系统注册表的深层路径中写入加密数据,并持续监控注册表变化。根据博主“玄道”的描述:UCPD.sys 的云配置会向注册表项写入加密数据,主要包括两类内容:DWORD 值(功能开关)和字符串值(PE 文件),如下:
HKLM\SYSTEM\CurrentControlSet\Services\UCPD\DRUCPD.sys驱动文件一旦检测到微软通过云端配置写入了特定数据,它能解密这些数据并将其转换为可执行程序(PE文件)在本地运行。这种机制类似木马病毒,能够在用户不知情的情况下暗中释放和执行未知程序,其功能可能包括接收远程指令,构成了潜在的系统后门。
在用户层面,该驱动会阻挠用户将默认浏览器、PDF阅读器等程序修改为非微软产品。即使用户手动修改,系统在更新或重启后也常常会自动恢复为微软的默认应用(如Edge浏览器),这被认为是利用系统底层权限进行的不正当竞争。
调查发现,UCPD.sys 内置了一套精准的、针对中国用户的“歧视算法”,而在欧盟等其他地区,这些侵犯性功能则不会被触发。该驱动会主动读取系统的地理位置代码。当代码显示用户位于中国大陆(代码45)、中国香港(104)、中国澳门(151)或中国台湾(237)时,会激活额外的监控功能并开启日志上报行为。
微软官方地理位置编码:https://learn.microsoft.com/zh-cn/windows/win32/intl/table-of-geographical-locations
图:判断地理位置是否属于中国大陆、中国香港、中国澳门或中国台湾(源: 玄道)
一旦激活,UCPD.sys会收集详尽的用户操作日志,包括进程的完整路径、修改模块的数字证书签发者、被修改的注册表路径及修改前后的值等。如果用户开启了“发送可选诊断数据”的系统选项,这些日志将被加密上传至微软服务器。这意味着中国用户的软件使用习惯和偏好被清晰地还原并收集。
图:中国用户会激活监控功能并上报日志,非中国用户则不激活且不上报日志(源: 玄道)
图:调用EtwWriteTransfer写事件跟踪日志(源: 玄道)
UCPD.sys 不仅监控用户,还被指控内置了针对中国主流软件的拦截机制,通过“三重黑名单”进行过滤。
1. 数字签名黑名单:直接检查程序的数字证书发行者,如果属于名单上的中国厂商(如奇虎360、腾讯、金山WPS等),其操作将被阻止。
图:数字签名黑名单列表(源: 玄道)
2. 进程名黑名单:检查运行中的进程名是否匹配黑名单。
图:进程名黑名单列表(源: 玄道)
3. 进程路径黑名单:检查程序的安装目录。
图:路径关键词黑名单列表(源: 玄道)
这一机制几乎覆盖了中国用户日常使用的办公、安全防护等核心领域的软件,如360、腾讯、联想、WPS、搜狗等均被纳入限制范围。
二、如何禁用并删除UCPD.sys驱动文件?
1. 以管理员身份启动Windows Powershell 或 CMD,输入:
sc.exe delete UCPD
同时,以管理员身份启动Windows Powershell,输入:
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\UCPD" -Name "Start" -Value 4 -PropertyType DWORD -Force此操作用于将UCPD服务的启动类型设置为“禁用” (值为4)。
2. 此步骤可跳过。想彻底删除的,请继续:
进入PE系统,启动cmd然后进入系统盘,输入:
del /s /q .\UCPD*.*
3. 重启电脑。
默认评论
Halo系统提供的评论