阿丙的部落格

首先，會先分享自己在兩天內遇到的情況；然後，再來談談這周在網路上看到的一些事情吧
本週的主題有：
I.重翻舊文
II.防毒軟體的bug之旅
III.論報復用菜單

I.有鑑於最近非常流行的勒索病毒，讓筆者又再次來省察自己的電腦環境是否足夠安全；由於目前已知的資訊裡，安全模式在救援資料時會是個利器。因此，也讓筆者把2015年的舊文給挖出來實戰操作一次，結果卻出現了一些落差
落差(1)：原本可以成功切換的開機選單樣式失效了，參考T客邦2月發布的文章來調整才正常(原有指令中的{default}改為{current})。不過，這個情況其實並不穩定，因為只要冷關機後重啟系統就會回到傳統模式，要再進行重新啟動才會變為傳統模式。
落差(2)：原本認定需要冷開機才能生效的樣式切換其實可以直接重新啟動就能生效(生效不持久算是後話了)。
而參考新文章加回來的功能(就是完整版的F8)似乎與傳統樣式的開機選單綁定(所以叫不出傳統樣式的話，你的F8就還是無效)，而這似乎是比較新的Build才有這個問題(目前用1703正式版，而筆者2前年撰文時用的還是發布前的技術預覽版；而假定那篇文章出版時的1607版不能適用的話，應該會有人回報，因此可以推論這套操作在1607版是正常的)。雖然筆者在測試途中曾經去增減開機模式的數量，但應與測試的結果無關(因為想說不需要保留啟用安全開機的模式了，但是後來加回去問題也沒有改善)。
20170523補充：
後來留意到舊文章中的這張圖，看到圖裡的「變更預設值或選擇其他選項」
 
筆者才意識到這個其實可能可以接續到舊文中的步驟5.5，然後照著操作就可以進行「一次性的安全模式」。剩下接續到5.5的操作如下：
 
STEP 1，選擇「選擇其他選項」
 
STEP 2，再選「疑難排解」
和原先的差異在於重新啟動後就是傳統介面的開機選單了(也是那篇文章預期按下F8該出現的東西)；因此雖然按下F8還是無效，但應該可以從這裡成功開進安全模式(所以T客邦的解法某種意義上還是可以用)。 
總結來說，紀錄一些雖然很雜但是「以後可能有機會用到」的東西(如自己的筆記、好用的網站等)還是有不少用處的。
II.由於上週筆者剛好蒐集了有關防毒軟體測試的資料，外加之前為了測試Mozilla Servo的Preview版把系統重置了(雖然後來還是開不起來，因為沒有裝獨立顯卡，可能因此沒辦法跑DX11的3D加速)，想想也是時候重啟過去的「防毒軟體試用輪值」了(外加筆者的兩套輔助工具的即時防護終於到期了，不用怕衝突)；剛好這時Bitdefender(以下簡稱BD)有90天免費的序號(這是Total Security版的，跟幾天之後推出，要掛VPN才能申請的Internet Security是不同的)，所以就把BD裝起來；結果第一次在Windows 10上遇到疑似BD觸發的藍屏。
  
而為什麼說跟疑似BD應該有關呢？主要是從藍屏的錯誤檢查字串「SYSTEM_SERVICE_EXCEPTION」去搜尋，發現BD的確是可能的原因之一；另外一點是兩次藍屏都剛好發生在開始執行全系統掃描之後(弱點掃描跟快速掃描時都沒事喔)，因此只好選擇暫時放棄BD，來日再說。說來這次的2017版短短的2天體驗，跟過去的體驗對照，有同也有異；同的部分有滿意的部分、也有不是那麼滿意的部分，非常懶人的autopilot、依然保留的救援模式、一樣進安全模式就當的UI、數量增加蠻快的事件通知。而新的介面筆者覺得無疑又比2016版本更加好看了(雖然忘記截圖了XD)，不過由於筆者的系統設定跟版本也跟之前不完全相同，所以這次的事件還不確定是什麼因素造成的(之前從2012年還有中文的版本時就開始斷斷續續地用，但都沒遇過這支藍屏，不過筆者之前全都是試用Internet Security版可能也有一些關係)。
既然暫時放棄BD，想說換上「據說」已經可以跟Sandboxie和平共處的Kaspersky 2017(以下簡稱卡巴)試試，結果也遇到了之前沒碰過的情況XD。之前曾經遇過的情形是，卡巴+Firefox會使得Firefox無法連線到https的網站(而且也只有Firefox系列會遇到問題)；而這次的情況則是，Sandboxie中的Firefox跟Chrome Canary連https的網站都會有問題(主要測試Google跟Yahoo)，不過理論上跟Chrome使用同核心的Vivaldi卻又在這方面正常(但是在沙盒中瀏覽某些網站又有著畫面無故變全黑的問題)；而沙盒外面的則是所有瀏覽器都很正常(所以顯然跟之前的情況不同，之前的是連一般開啟都會有問題)。
   
有做過的嘗試(不過都沒什麼效果)：
1.移除安裝卡巴時一併安裝的Secure Connection
2.重新安裝Sandboxie
3.停用卡巴所新增的瀏覽器擴充套件
不過因為這次的影響僅限於Sandboxie之內，所以就暫時繼續用下去啦(實在不想換了第三套，然後又遇到些奇怪的事)。筆者覺得卡巴算是蠻適合放在「防毒軟體試用輪值」前半部的(如果真的要這樣玩的話啦)，因為其弱點掃描中也包含了一些能夠讓系統變得「相對安全」的設定(像是關閉光碟的自動播放之類的)，而即便日後因為到期或其他因素而改用別的軟體，這些設定也可以接續地存留在系統裡，不過也有一些人覺得沒必要就是了。
III.網路上偶爾會出現一些「惡意滿載」的電腦零組件的組合(也就是菜單)。當中也有一些是直接被導引去買某些貴得誇張的套裝電腦(反正保固都是找原廠，火比較不會燒到開單者身上)，也有些是故意搭配一些效能較差的零組件(例如參考來源中，事主原本打算搭配的CPU就是比較差+難以後續升級的那種)，當然也有參考來源裡這種精心計畫的(建議直接看參考來源的文章，因為他這麼配的理由已經寫得蠻完整的了)。
不過，整件事情如果從頭開始推敲的話，又會是怎麼樣呢？將專業技術用在報復上算是對得起自己的專業嗎？這會不會是對方打算示好、像要修補關係而採取的行動呢？再者，報復除了當下爽完之後，到底還是只剩下空虛而已(以德報怨雖然不容易，但是反而能使你成為一個更好的人)。
再者，即使真的組了最為惡意的機子出去，使用者也未必會照網友的劇本走而感受到痛苦(畢竟對於一般人來說，整台砍掉重練無疑是比較省事的；也就是說一般人其實很少會針對現有的電腦思考升級的問題，那麼網友精心設計的升級天花板似乎也就沒那麼重要了)。

系統資訊(包含有提及之軟體)：
Windows 10 1703 64位元(啟用檔案歷程記錄)
EMET 5.5
Malwarebytes Free 3.1.2
Zemana Anti-Malware Free 2.72
Firefox 53.0.3 64位元
Firefox Developer Edition 54a2(2017-05-10) 64位元
Google Chrome Canary 60 64位元
Vivaldi Snapshot 1.10.845 64位元
Sandboxie 5.18 Free(全預設值，僅檔案搬遷的大小提高至8 GB)
Bitdefender Total Security 2017
Kaspersky Internet Security 2017
參考來源：
1.參考的T客邦文章(這些更動在開機選單那篇文中也有，所以來源也一起補充上去了)
http://www.techbang.com/posts/49269-win-10-training-workshop-finding-hidden-windows-boot-menu
2.某篇報復菜單的回文
https://www.ptt.cc/bbs/PC_Shopping/M.1495226997.A.954.html

以下主要是一些個人的想法與推測，也會包含一些在網路上以目光掃過的言論，所以某些來源可能已不可考了，如果有冒犯到，還請告知，我會盡速處理。這週最大的話題自然就是WanaCrypt0r 2.0了，網路上也有一些有趣的測試、想法與命題(防毒軟體有機會可以擋住勒索病毒嗎？使用者在更新不更新間猶豫的糾結是？)

關於這個勒索軟體的作用方式，已經有很多地方都有論述了，在此不會多做討論。
簡單來說，一般惡意攻擊有兩種途徑可以進入系統，第一種是"種瓜得瓜"，第二種是"人在家中坐，禍從天上來"。第一種是由於使用者的操作使得威脅有機可趁(例如前幾週的伊莉Flash Player事件，就是使用者誤信網頁上的錯誤資訊，下載了被加料的Flash Player安裝檔案)，而第二種則是"連上網路就會中標"。而本次的WanaCrypt0r 2.0比較偏向第二種(但是由於微軟早在3月即釋出的相關的系統更新，所以某些Windows平台上的受害者可能會被歸類為第一種)。然後，這也是Windows XP自微軟終止支援後所獲得的第二個官方更新(第一個更新發生於終止支援後的數日內，是Internet Explorer的嚴重漏洞，讓微軟願意重啟對一般大眾的更新也可以想見這個問題的嚴重性了)。
差不多是從勒索軟體在台灣開始盛行、慢慢被注意到的時候，Comodo這類具備了優異沙盒與HIPS的產品就開始引起了某些人的關注，這次也理所當然地有Youtuber火力展示了Comodo自動沙盒的強大之處。但其實這類的軟體固然是強大，卻也有著不易入手的高門檻在(雖然這款軟體其實有很完整的中文化，而且免費版就可以達成影片中的防護效果了)；再加上這套軟體的純防毒的部分似乎沒有什麼突出的成績過，所以有一些網友會想尋找能與Comodo搭配的防毒軟體，好同時兼顧兩者的優點。
那麼，所謂的"沙盒無敵論"究竟成不成立呢？其實還是有些限制的，例如Comodo過去就曾經發生過沙盒被穿透的事件過；而目前看似牢不可破的Sandboxie卻也有著僅能對應放入沙盒中的程式的限制在(所以對於這次針對系統漏洞的攻擊其實並沒有幫助)。更重要的是，沙盒其實還是可以被放行的，這代表沙盒裡面的檔案還是有機會回到沙盒外的。在這種情境下，反而是VM(虛擬機)比較能夠免除這類的攻擊，不過這有個前提是你的HOST(主機端系統)必須是更新完整或是非採用Windows系統(本次災情僅限Windows系統)，而且沒有使用共享資料夾的(以免VM中標透過共享去影響到HOST OS)。
另外一項由中國網友操作的測試，則是提供了一個實驗樣本，看看究竟防毒軟體能不能在災情爆發前攔截甚至解決掉本次的禍首WanaCrypt0r呢？測試的方式如下：
虛擬機下
Windows 7 SP1(未更新)
斷線不連網
病毒資料庫為2016/12/12日的版本
結果仍然有數家防毒產品(Kaspersky、Bitdefender、F-Secure、Dr.Web)以及舊版的Sandboxie 5.12(目前最新版為5.18)可以阻止這支於數個月後肆虐的惡意程式的運作；當然，這項測試還是有些需要留意之處：
1.惡意程式與虛擬機中的運作情況，未必與在實機上的一致(可以參見來源五裡，mayuyu的留言部分)。
2.目前僅有這一款的樣本，並不能保證同樣的測試條件下，這些過關的產品還能夠攔截到新的變種程式。
3.本次實驗的測試方法僅考慮到此惡意程式早期的傳播方法(e-mail傳播後手動點開下中標)，對於某些早早鎖掉445 port的產品，實際上能夠倖免於後期的傳播方式。
4.如果病毒資料庫網前提一點(例如改成是201704的資料庫版本)，或許能夠阻擋的產品會變多。
5.斷網下進行的測試會一定程度限制到某些防毒產品的防護功能(如Symantec所搭配的Sonar技術要連上網路才能發揮效果)
從這個實驗結果，似乎也只能推論說：防毒軟體是"有機會"可以擋下勒索病毒的。而或許有些人會覺得本測試的資料庫時間間隔了那麼久，會距離實際上的測試環境比較遠。筆者認為這也跟測試者想要測試的項目有關，測試者打算測試的項目是防毒產品的主動式防護技術，所以為了降低資料庫的影響而去選用比較舊的版本(好確定所有成功阻止的案例都不是因為這個病毒已經在資料庫裡了，同時也是為了模擬防毒軟體遇到未知勒索病毒時的抵抗能力)。
在稍晚的時間點，同位測試者拿了另外一個樣本來測試，結果便與上述的有些不同了；這次Bitdefender Free與Dr.Web沒能擋下攻擊，而Symantec的SEP(企業用的Endpoint Protection)則是成功靠著啟發式技術擋下，所以某些方面算是驗證了上述提及要留意的第二點了。
而這次的事件，固然是提醒了使用者定期安裝Windows更新的重要性，卻也凸顯了支持更新跟不更新這兩種使用族群存在已久的爭論；確實，某些Windows更新的結果不是那麼令人愉快(像是Windows XP時期的WGA認證)、漫長的套用更新時間；而有些時候，更新Windows反而帶來了其他問題(如2014年Windows的問題更新可能導致無法開機)，當然也包含與硬體驅動相容性有關的問題。對於那些深受過其害的使用者，要讓他們重新去接受開啟更新有時並不容易(誰能預知下個更新會不會又有問題呢？)；而對於那些什麼安全措施都沒做卻無風無雨的使用者，好像也很難找到說服的理由。
可是，現在的情勢似乎不得不去修補更新了，那可以怎麼幫助這些使用者呢？筆者認為需要有更新失敗的備案(還原方案，可以是來自硬碟廠商OEM版的True Image、免費的再生龍等)，藉此降低對使用者造成的不便，也能慢慢讓他們重建信心。而比較新版的Windows可以延遲更新，讓使用者確定沒有災情後再進行安裝(不過遇到災情的時候還是建議盡速裝上對應釋出的安全更新)。
也有一些網友提出了一些蠻有趣的觀點，像是砍掉資料夾選項中System的權限、用BIOS把資料碟Disable等；但目前看來，物理性隔離的備份還是最有效的對應方式。
最後，筆者想稍微聊一下備份這一塊，現在比較流行的方案有行動硬碟、雲端同步、NAS這幾個，後面兩種方便度會高一點，不過也比較容易跟著中標(因為都以網路連結著)；而行動硬碟或是內接式硬碟+硬碟外接盒的方案則是要留意操作、存放上的細節(像是備份的時候不要震到、備份時不要連結網路，還有就是，硬碟是很容易被摔壞的，標榜防摔的產品或許會好一點吧)。其實理想上需要做到有多種儲存媒體的備份，甚至是異地備份；不過筆者是蠻懷疑有多少使用者會花這些功夫去做啦(對，我也沒有做到那麼多)，所以個人以為先從比較簡單、容量比較大、普遍接受度比較高的本地離線備份(就是剛剛說的第一種)開始去做，有需求與預算的時候再慢慢增加備份的種類與途徑吧。而雲端服務的部分，使用者需要先了解"同步"的意義，同步代表至少兩個地方(你的電腦、手機、平板跟雲端伺服器上)都有一樣的檔案，並且使這些地方的檔案一直保持相同。所以，這代表你的檔案也可能在被加密後上傳到雲端來取代掉你原本正常的檔案；因此，有些雲端服務標榜可以回朔檔案版本的功能就十分重要了(這樣讓使用者可以把雲端上的檔案回復成加密前的版本)，當然，發現中標的話還是趕快關機斷網比較實在(然後看你要拔下硬碟到其他電腦、選擇在原機進安全模式，或是拿PE、Linux LIVE DVD/USB來救援檔案)。
參考來源：
1.Comodo測試影片(影片中刻意關掉HIPS，實際運用是可以開啟的)
https://www.youtube.com/watch?v=TVIhXwFJXMg
2.該Youtuber的Comodo設定
https://www.youtube.com/watch?v=TCOJ1W5GEDo&t=25s
3.防毒版的Comodo討論文
https://www.ptt.cc/bbs/AntiVirus/M.1494694024.A.FF1.html
4.中國網友進行的防毒軟體測試(後加測了WanaCrypt0r的變種)
http://bbs.kafan.cn/thread-2089134-1-1.html
5.虛擬機/實體機對應的不同行為與解釋(主要看mayuyu的留言部分)
https://www.ptt.cc/bbs/AntiVirus/M.1494693120.A.58C.html
6.網友觀點-從BIOS控管(缺點是升級或是BIOS被覆寫的話設定可能會失效)
https://www.ptt.cc/bbs/AntiVirus/M.1494698087.A.D54.html
7.網友觀點-砍System權限
https://www.ptt.cc/bbs/AntiVirus/M.1494705139.A.45D.html
8.伊莉Flash Player加料檔案解析
https://www.ptt.cc/bbs/AntiVirus/M.1492970122.A.0B9.html
9.巴哈上對於該測試結果的補充、看法
https://forum.gamer.com.tw/C.php?bsn=60030&snA=462122&tnum=8
10.Sonar技術對應WanaCrypt0r的測試(使用的資料庫為2017/01/24)
http://bbs.kafan.cn/thread-2089166-1-1.html

以下主要是一些個人的想法與推測，也會包含一些在網路上以目光掃過的言論，所以某些來源可能已不可考了，如果有冒犯到，還請告知，我會盡速處理。
本週的話題有：
I.跑分豬羊變色的CPU-Z
II.三井的破盤Ryzen 5
III.Windows 10 S

I.想像一下如果你做實驗遇到了不合乎預期的結果，而這個實驗過去都很成功，那麼，你會怎麼處理呢？
選項(1)、照實地反應實際的結果，把數據保留下來
選項(2)、總之再重複嘗試看看，試著找出變因
選項(3)、把不合預期的部份去掉，讓結果和以往的差不多
選項(4)、重新設計實驗本身
就本週更新的CPU-Z而言，它算是做了(2)(3)(4)的選擇，它發現了現象(ALU運算單元在某些情況下有著驚人的效率)但是沒有找出原因(找不到效能提高的特定場景)；然後它修改了原有的Benchmark(也就順便埋葬掉了之前觀測到的這個問題)。不過，因為只有Ryzen分數明顯地大幅下滑，官方的解釋更引起爭議。
主要爭議的點在於：1.時間點(理論上早就拿到CPU的CPU-Z團隊，為何到了上市後2個月才處理)2.理由(官方敘述中提到他們認為"Ryzen的同頻效能高出Skylake 30%"這個結果是不合理的，單就其他測試軟體來說，過往的CPU-Z成績相校於其他測試軟體是偏高沒錯；但這種描述方式反而容易讓有些人覺得，CPU-Z是有意要維持intel CPU在單核分數上的領先->有些人就會覺得難道AMD不能超越intel，超越就是不正常嗎？)3.與現實環境的距離(官方提及跑分異常的情況不會在現實中出現，因而認定原有Benchmark有問題->那為什麼要設計一個遠離現實環境的Benchmark呢？)
筆者第一次注意到跑分可信度的問題是在一篇論及As SSD Benchmark分數權重的文章(所以這類使用一些計算流程後才產生的分數可能看看就好)，後來了解到即使是看似直觀的數據(如讀寫效能)還是會有操作的空間(像是SLC快取、測試資料是壓縮/非壓縮、SSD內建的Ram Cache都會有影響)。最算是最直接的FPS，也會有人對你使用的程式、測試方式有意見(固然某些程式由於架構的緣故會有其侷限性，不過要是花時間測試只得到一句"冷門遊戲"或是"冷門軟體"那也真有些無奈啊)。
II.簡而言之就是又有通路標錯價了(整整少了3K)
這類事件可以看到很多面向，主要是在(1)購買者、(2)Key錯價位的工讀生、(3)三井的公關/上層
有些消費者會選擇顧及他人的損失而讓步；有些消費者則是緊握著自己應有的權利，認為自己不應該為他人的錯誤付出代價；不同的選擇會有背後不同的考量，並不是可以簡單二分法的。而出錯的真的只有工讀生嗎？難道網站上的資訊不需要double check嗎？而工讀生可以獲得訂單的個資，然後直接連絡下訂者？這沒有觸犯個資法的疑慮嗎？最後是到目前為止不知道有什麼動作的高層/公關了，這件事情可以收尾收得很大器，也可以用拖字訣或是無效訂單來個船過水無痕，就考驗相關部門的智慧了。
III.Windows RT in x86？
會這麼說其實是因為兩者的共同點都是：僅能安裝Microsoft市集中的APP，只不過Windows 10 S可以透過某些方式切換為Windows 10 Pro(教師可以解鎖，學生可以加價升級)，而且綁定Edge上的搜尋引擎為Bing(你確定這樣過得了歐盟那關？)
至於Windows 10 S與Windows 10 Pro的關係嘛...有鑑於Windows 8起微軟開始把一些系統內的選用功能放到雲端上，需要的時候再透過連線裝回來，所以Windows 10 S可能是把更多的功能拔掉，而切換成Pro後就重新把相關的元件、服務下載回來即可(畢竟微軟也能夠大砍特砍搞出個Docker用的Nano Server OS，正規的桌機砍些東西變成只能跑APP似乎也不是很值得意外？)

 
簡介︰
雖然HTML5正逐漸取代Flash的角色與地位，但Flash技術仍構成我們在網路與影音上許多體驗的根基；不過， Flash Player有時也導致瀏覽器不穩(在沒有自行改寫Flash Player的Firefox上較為明顯)；其跨平台支援的便利性與極廣的覆蓋率也成為安全攻擊的首選目標之一。
本文會說明如何停用幾款瀏覽器上的Flash Player外掛模組，或是修改設定使得使用者可以僅在需要時允許Flash Player執行、以及能達到這項目標的附加元件、擴充套件。
雖然本文的測試環境全都是在Windows系統，但是對當中幾款跨平台的瀏覽器而言，相關的設定與附加元件、擴充套件都可以在其他平台上實做。

 
簡介：
在Windows平台上， WinRar被認為是相當有效的壓縮軟體，不過大多數時候，使用者只是要解開壓縮檔，而不一定需要使用那些WinRar專有的功能。一直以來，其他壓縮軟體大都可以正確解開WinRar或WinZip所產生的壓縮檔案；然而，自WinRar 5.0起，使用者多了一種壓縮格式的選擇： rar5，而推出當下沒有其他的軟體可以解開這種格式，隔了好一陣子筆者才看到BandiZip跳出來支援rar5的解壓縮；而7-Zip也終於自15.06 Beta起正式支援對rar 5的解壓縮。
雖然本文提到的格式是rar5，但實際上產生的檔案副檔名依然是.rar；所以，如果你遇到有些.rar無法成功地被解壓縮，其中一個因素可能是這個。

 
簡介：
自Windows 8開始，許多程式以APP的形式被安裝在系統中，我們很難找到它們
的「檔案位置」；而「開啟檔案位置」是自Windows 8以來為傳統應用程式建立
桌面捷徑的方法之一。

筆者有查詢到可以在桌面建立資料夾，使該資料夾內包含所有出現在「開始畫
面」、「開始功能表」中的所有程式之捷徑。

 
簡介：
通常使用者會透過網路更新的方式獲得新版的Adobe Reader，本文將協助您打造一個屬於自己的Adobe Reader安裝檔案，直接進行安裝便可到達最新的版本。

 
簡介：
自Windows Vista起，調整開機選單不再是利用Windows XP時期的boot.ini了，而是改成在命令提示字元中使用bcdedit指令來編輯、增減開機的選項、功能、介面與名稱。而隨著Windows 8的推出，使用者不再能使用F8來進入安全模式；本文也提供兩種進入安全模式的方式供使用者選擇。

 
簡介：
Evince文件檢視器是採用Gnome桌面環境的Linux發行版的預設文件檢視器，它可以支援PDF等多種文件檔案並提供多國語言支援，原本就擁有Windows版本(僅到2.32版)，但是隨著3.0版開始採用GTK3 Runtime，Windows版本的開發就停滯下來了。
然而，網路上卻有著可以安裝的3.X版，本文便是對如何安裝進行簡易說明。

 
簡介：
Okular文件檢視器是採用KDE桌面環境的Linux發行版的預設文件檢視器，它可以支援PDF、DjVu等多種文件檔案並提供多國語言支援，透過KDE on Windows計畫，我們得以在Windows系統下使用這套軟體。