@mozutaba 其实我觉得，如果对方真的是恶意碰瓷，用 360 可能也是一样的结局……可能只要有窗口弹出来提示有毒，对方就可以耍流氓，说杀软把文件搞坏了云云……
感觉卡巴在国内知名度也蛮高啊，难道他们不承认卡巴是杀软么……

@mozutaba 我是说，卡巴应该也可以改一下设置，让它别急着把文件杀掉，改成只提示下一步操作吧？这样就可以避免这种疑似碰瓷的问题了……

@ahhui 以前 IE 浏览器是最普及的，现在有开源的 Chromium、Firefox，各家都进来插一脚……
杨竞的解释就是出于兼容性考虑，通过开发插件覆盖市面上各种乱七八糟的浏览器很难，才做了内核里的监视驱动。
不过……我记得 Windows 已经提供了 WinSock 来在用户态实现这个功能，不知道迅雷为什么不用这个。
另外，WinSock 好像早在多年前就因为滥用问题广受诟病了（微软可能又会觉得这锅背得冤啊）……一直到现在，netsh winsock reset 仍然是修电脑必备技能😂

@ahhui 我觉得 Everything 的做法类似于数据恢复工具直接打开\\.\PhysicalDrive0 这样的磁盘设备（换成 Linux 上就是直接打开 /dev/sda 这样的块设备），其实已经超出 NTFS 权限涉及的范畴，所以系统才要求必须有管理员权限才能执行这种操作。
实际上就算 Everything 仍然依赖内核中的 NTFS 驱动，它也可以直接绕过文件系统 minifilter ……

@ahhui Everything 需要提权才能工作，我觉得这是正常现象。如果它不需要安装服务，或者不需要弹 UAC 申请提权就能工作，那标准用户就可以装一个 Everything 来偷窥其他账户的文件了……微软不会犯这种低级错误。

@ahhui
下载工具还真有理由加驱动…… IDM 就搞了一个，把明文 HTTP 的文件下载请求拦下，然后拉起 IDM 主程序。迅雷也这么搞了，知乎杨竞的答案解释过。不过，确实有可能出 bug 影响正常使用，杨竞答案的评论区里说过，这个驱动可能导致 shadowsocks 等软件不正常……

至于关闭 UAC ……我觉得 Windows 生态圈就是这个样子，如果真的把 SecureBoot、DSE 都收紧了，而且不让用户装应用商店之外的东西，那这个系统还能叫 Windows 么……感觉简直变成 iOS 或 Android 翻版了嘛，只是操作方面可能更适合台式机 /笔记本的键鼠而已。

另外，其实我觉得什么时候弹 UAC，应该是软件开发者仔细研究后决定的事情。应该是注册服务 /计划任务来实现需要权限的操作免弹 UAC，但敏感操作仍然需要弹 UAC 请求用户确认。
但现在，开发者的行为本身可能就让用户不爽了，而且不少开发者可能固守着 Win98 时代以来的系统文件随便动的刻板印象（大概就是因为这个，才有人吐槽关闭 UAC 等于回到 Win98 时代？），不愿意适应新系统，现状就是这么蛋疼……

@ahhui Everything 是无视 NTFS 权限的，感觉原理类似于 DiskGenius 直接解析文件系统，连某些在内核里挂钩的 Rootkit 都可以无视。
确实，有些软件要管理员特权是流氓耍过头的表现，比如 UCGuard.sys ……但 Google Chrome 不也搞了个计划任务来静默自动更新么……所以我才觉得虽然安装 /运行时弹 UAC 有流氓嫌疑，但并不能说弹了 UAC 就一定是流氓……
另外，Everything 不需要加载驱动就可以正常工作。

@ahhui 同理，其实如果用户连管理员权限都把守不住，也可以说“已经没有安全可言”了……
但很多个人用户的机器上可能没啥商业秘密，所以，“事后”如何才能迅速发现系统不对劲、如何把恶意软件扫地出门，也是被用户关心的。

@mozutaba
锅是谁的……这个问题果然蛋疼😂
不过感觉这个可以调设置解决吧？

另外，记得在看雪还是哪个论坛里，有人说过 360 离线时基本不杀……

至于 12306 ……可能和 WAPI、国密算法、火星 GPS 坐标一样是中国特色吧。
不过就 12306 来说，用户可能并不是没办法，比如，可以在浏览器里给 12306 加个证书例外，这样访问其他网站也不受影响。

@geelaw
看上去开两个账号好像不能阻止已经搞定本地管理员的入侵者顺藤摸瓜搞定域上的资源？

http://www.freebuf.com/articles/102500.html
（ 1 ）伪造 token
一旦你能以管理员权限访问到一台计算机，你也可以使用其他用户的 token 去访问域管理上的资源。可实现该功能的两个推荐工具是 incognito [1]以及 mimikatz[2]中的“ token::*”命令。

@ahhui
UEFI 的 Bootkit 其实现在也已经有了，鉴于.efi 文件也存放在硬盘上，LZ 感觉地位可能和 MBR Bootkit 类似……
比如 Kon-Boot，可以用 U 盘启动它，绕过开机密码。
SecureBoot 可以阻挡 UEFI Bootkit，不过感觉只有购买品牌机的用户，或者比较有安全意识的用户能受到 SecureBoot 的保护。
LZ 身为外行，感觉要理解 SecureBoot 的信任体系还是挺困难的，无论是电脑城装机小哥还是稍有经验的用户都是这样。所以，很容易想象出：为了重装系统、启动 WinPE 方便等目的而直接关掉 SecureBoot 可能会成为普遍现象……

@ahhui 我觉得目前的确有不少开发者偷懒，一味地申请管理员权限，不过有些应用可能确实需要管理员权限才能正常工作。
比如 Everything，至少需要管理员权限来安装一个服务（不过 LZ 觉得 Everything 这个例子不好，因为 Everything 把 NTFS 权限全给架空了，所以它只适合个人用户使用）。
总之…… LZ 只是觉得不能简单粗暴地以 UAC 弹窗作为耍流氓的判断标准。

@TakaLv iOS 有很好用的 AirDrop，但 LZ 推测可能是苹果出于自己的私心，完全没有提供 SMB、FTP 等通用协议，或者类似 AirDroid 的那种基于 Web 的文件分析机制……

@TakaLv 我觉得如果 UWP 应用能任意读写用户的大多数个人文件，那和 Android 的 SD 卡这块空间可能也差不了太多了。

我自己没在用 iOS，印象中 iOS 没有这么一个公共的“缓冲区”，导致了使用上的麻烦。

Windows 和 Android 中，应用可以自由访问文件。
如果不允许应用自由访问文件，可能就需要开发“相册”“文档”之类 content provider （ LZ 也不知道怎么形容）应用。别的应用如果要读取内容，必须手动在原先的应用里点一下“分享”“用 XX 打开”之类的按钮；或者，应用要读取文件时，主动调用这些“ content provider ”，让用户从“ content provider ”中选择要使用的文件。
说实话，这可能并不是坏事，反而是好事：因为文件可以被更有序地组织起来，防止出现用户乱丢文件、找不着在哪的情况。
但文件类型五花八门，可能系统不能都对应开发类似“相册”“文档”之类的 content provider 应用包办，如果干脆出个“文件管理器”，那权限粒度可能又太粗糙……

@ivvei 在不太懂技术的用户面前，UAC 的另一个尴尬之处就在于正常软件在安装、运行时申请 UAC 提权的，好像也非常多……你不能把弹 UAC 当作耍流氓的标志。

@ivvei 实际上到弹 UAC 那个程度，可能是耍流氓已经耍得太过分了。
LZ 后来反思过，意识到管束软件的流氓行为，压根就不在 UAC 的职责范围内……
比如安装软件，我记得只要开发者愿意，其实可以 per user 安装，安装过程可以不弹 UAC 申请提权。
我记得知乎大 V vczh 说过，只开标准用户的话，某个用户作死中毒，删掉账户，系统还是好的。
不过 LZ 觉得这对个人用户意义不大，因为重装系统的麻烦有一大部分就来自于各种个性化设置。删了账户，这些还是要从头开始，可能某些软件还需要重新激活……

@ivvei 你可以换一个软件试试，比如 Snipaste、GifCam 等……

@wevsty 再次感谢您的分享。

还有一个重要信息我没补充，就是签名那个恶意驱动的过期证书，实际上**已经被吊销了**。
连吊销证书都无法阻止这个驱动被加载的话，也难怪有人会说现在的 DSE 是鸡肋。

当然，就算微软在将来收紧了 DSE，也不能远远消除内核这块的安全隐患；
而且，LZ 觉得收紧 DSE 能带来显而易见的坏处：这会给个人、开源软件开发者带来麻烦，甚至让他们无缘触及 Windows 内核；并且可能会导致厂商支持不到位的硬件直接被未来版本的 Windows 放弃支持……

关于时间戳，我从表面的现象看，觉得它还是非常重要的。
根据 LZ 自己的观察，如果没有时间戳，签名的有效期就被限制在证书的有效期内。如果有时间戳，就不再受这个限制（不知道是不是受反签名证书的有效期约束）。
很显然，这样可以阻止攻击者用泄露私钥的过期证书签名驱动来绕过 DSE。

@xuboying 当然不矛盾……说开了，就好像社会上总有一定的犯罪率，但我们该怎么过还是怎么过一样。
LZ 大概想吐槽的，楼上的 V 友说过了:知乎提供的信息只是面向外行的“科普”，可能不全面，或者欠缺时效性。
而 LZ 这种外行又可能太轻信知乎这种平台……