今天上海IT外包服务网 www.itshanghai.net 就为大家分享windows7下UAC的测试报告和使用感受.情况如下:测试环境为Windows 7 x86@VMWare Workstation,UAC置于默认级别,但关闭Windows Defender(毕竟这玩意有时候是能拦截下一些恶意软件的)。测试样本随机取自卡饭样本区,共11个,勉强算是一个微型包。每次启用新的Snapshot,单独针对一个样本进行测试,记录其基本外观与运行状况,重启后再观察侵染状况。对于运行过程中弹出的所有提权请求,一律拒绝。
微软在Windows Vista系统推出的UAC(用户帐户控制)功能,被很多用户认为是“垃圾功能”。原因只有一个:用户的很多操作,都会遭受频繁的弹窗询问。虽然用户并不喜欢此功能,但微软在Windows 7中仍然将其保留了下来。微软难道不愿意接受“群众的呼声”吗?
尽管仅仅是一个微型包的测试,但问题已经凸显。大部分样本以进程终止告终,但部分样本得以挂接启动项或释放文件并随系统启动。这并非由于UAC失效所致,而是由于用户账户本身就对若干个启动项连接点拥有写入的权限(包括HKCU注册表项、“启动”菜单项、C:\Windows\Tasks等),不需要提权即可以向当中写入信息。虽然样本的部分危险行为被UAC与权限设置所阻止,其所采用的启动项添加方式也很容易被发现,但启动项的添加成功就意味着一些可能性——这对并不熟悉计算机的终端用户,仍然可能造成危害。
因而,我们可以收回之前的“UAC足以进行裸奔”的极乐观观点了。安装一款防病毒软件并将UAC做为第二道防火墙,这是我现在的建议。
关闭Windows Defender只是为了避免它剁了我收集的样本而已。而做为一款反间谍软件,Windows Defender基于特征码的侦测手段不会对测试结果产生太大的影响。
事实上IE8对于跨站攻击的防范很不错(这也是我之前的文章中基于IE的测试无疾而终的原因),当然0day会突破IE的防护,但考虑UAC与杀软的双重防护,感染的概率已经很低了。祝大家好运.
上海IT外包服务网