Комментарии 71
bcdedit /set {default} bootmenupolicy legacy Стараюсь везде вводить, стелить соломку.
А не сталкивались, почему-то при выключении ноута с Win10 на экране крутится пару секунд "Завершение работы", потом экран гаснет, но ноут не выключается, а тут же включается экран и там опять рабочий стол, со всеми включенными программами, даже браузер со вкладками, как будто ничего и не завершалось.
Только сейчас из-за вашего поста об этом вспомнил, так как проявляется по вечерам и после этого я его вместе с собой в спящий режим перевожу, не выключал уже пару месяцев.
У меня что-то подобное наблюдалось, я просто не мог выключить компьютер (даже не начинался процесс завершения работы). Потом исчезла проблема. Так вырубал жестко ресетом предварительно завершив все важное ручками.
Ведь способ входа через bcdedit легко перехватывается вредоносами еще на уровне пользователя.
Инжект кода в explorer.exe -> перехват NtCreateProcess, в инжект кода в каждый процесс создаваемый этой функцией, если это не bcdedit.
Если это bcdedit — вызов функции SetLastError(ERROR_ACCESS_DENIED);
При помощи таких библиотек, как Minhook это делается за пол часа и запретит вход в безопасный режим.
Теперь вопрос: Нафига MS сделали это таким образом?
> Если другими средствами проведена эскалация прав до админских, то собственно уже не важно какими средствами будет убиваться система
Почему убиваться? Тут вопрос стоит в закреплении. Время когда вредоносы убивали систему прошло давно.
> Шифруется ли диск, на котором живет BCD? Надо проверять, удастся ли изменить BCD при загрузке с внешней
Че вы несете? Извините за грубость. Даже через обычный канал попадет вредонос на учетку админскую уже не получится прогрузиться в безопасном, чтобы вынести заразу.
Вы видимо не понимаете, что перехват API происходит в памяти и не важно где bcd находится, вообше не важно что где находится, ибо это все в одном месте — в виртуальной памяти.
а по поводу закрепления, так причем тут BCD. если вредонос уже в системе и уже поднялся, неважно как, до прав админа — то методов закрепления столько что запрет вызова защищенного режима да вообще возможность записи в BCD уже никакой роли не играет… Поздно пить боржоми когда почки уже отпали )) Все равно любые действия по ремонту\лечению системы в таком случае уже надо делать только и исключительно после загрузки с чистой системы.
Ну и в общем с тем, что увы, но win10 пока явно не входит в категорию хорошо защищенных систем — я даже не думал спорить. Вопрос — что входит? нет. даже не так. Что входит в эту категорию, предоставляя пользователю необходимый сервис, включая пользовательское программное обеспечение? Это разговор отдельный не на одну статью, хотя если кратко то универсального — ничего. И каждый раз надо сначала очень тщательно обговаривать задачи.

Со всем тем легаси, что им приходится поддерживать очень трудно предсказать, как зажатая кнопка выстрелит. Это новое поведение, под которое не подстраивались сторонние разработчики. Не сломается ли какой-нибудь кривонаписанный bios/uefi и т.д. и т.п.
Фича есть — но по умолчанию она заблокирована. Если вы себе соломки подстелили — то это не значит, что все остальные сделали то же самое. Особенно люди не слишком продвинутые узнающие о том, что они, оказывается, должны были залезть куда-то в настройки и что-то там такое сделать когда их Windows ещё работала.
Гениальное дизайнерское решение!
P.S. Также эта фича может у вас быть если вы не используете EFI и грузитесь через эмуляцию BIOS'а. Там просто Microsoft ничего не «улучшал» и фича осталась как есть… но могут быть другие проблемы, так как этот режим особо и не тестирует никто. У меня при загрузке через BIOS, скажем, отваливается кард-ридер!
Для этого надо зайти: Пуск -> Параметры(иконка шестерёнки) -> Обновление и безопасность -> Восстановление
И там под вариантом «Особые варианты загрузки» нажать «Перезагрузить сейчас».
В стартовом меню нажмите кнопку Power и, зажав Shift на клавиатуре, выберите пункт перезагрузки системы (Restart)
В появившемся диалоге последовательно выберите пункты Troubleshoot (Диагностика) -> Advanced options (Дополнительные параметры)-> Startup Settings (Параметры загрузки).
Где-то встречал забавное объяснение этого поступка: новая операционная система загружается так быстро, что пользователь не успеет нажать F8. В принципе, для некоторых компьютеров с UEFI это недалеко от правды.
Следующим этапом — заменить реестр на текстовые файлы
Нюанс в том, что реестр не личная придумка MS, он был сделан совместно с IBM и внедрен в Windows и OS/2, а также, внимание, в суровый тру Unix от IBM, который жив и по сей день и называется AIX. Выглядит он там совсем по-другому, но идея все та же: бинарное, древовидное хранилище для параметров.
А ещё win10 умеет просыпаться из спящего режима для установки обновлений. Отключается в настройках режима энергосбережения.
PS. Win10, как собственно и WinSRV 2012 и выше, все больше и больше становятся похожи на Unix. Все больше и больше важных, но скрытых, настроек можно изменить исключительно (или, как минимум, намного проще и удобнее) из командной строки.
Чтобы windows был действительно больше и больше похож на линукс, там надо открыть код системы как минимум, из чего вытекают кастомные форки, 100% чистые версии и портирование на множество платформ и глобальная чистка кода от синих экранов.
Но, к сожалению (или к счастью) Microsoft на такое никогда не пойдет.
Lunix и Unix это разные ОС с разными лицензиями;
Не надо их мешать в один котел;
}
esle{
Error;
}
Вот неплохая статья на эту тему: https://geektimes.ru/post/283544/
Смысл в том, чтобы не забивать ядро говнокодом, это вопрос и саппорта ядра и лишних глюков.
Я так и не понял, о каких глюках и синих экранах идёт речь. На своей любимой Windows XP x64 я их видел лишь тогда, когда у меня сбоила оперативка из-за слишком низких таймингов.Что любопытно, они именно с XP начали борьбу с синими экранами, выведя драйверы в отдельный слой. В 7ке ввели обязательную сертификацию драйверов (вою-то было по этому поводу). В восьмерке уже научились обрабатывать сбоящий видео драйвер: сейчас он в случае сбоя перезагружается не перегружая всю систему.
Ключевая мысль была, что именно в xp началась активная борьба с левым кодом драйверов и бсодами.
В предоставленной вами статье вся суть и была в том, что AMD не хотела поддерживать свой код под постоянно меняющиеся интерфейсы и пыталась спихнуть это на сообщество. Сообщество послало AMD в пешее. А в Windows интерфейсы меняются только с выпуском новых версий, что позволяет запиливать новые дрова в течении более чем 10 лет.
Не совсем так:
No HALs. We don't do HALs in the kernel.[+]
А windows:

Я в своё время, когда пытался обновиться на anniversary Update на работе (теперь плюнул и не пытаюсь, но после вашей статьи ещё раз попробую), мало того, что излазил все форумы, так ещё и с МС в онлайн-чате общался. И знаете, что они таки мне сказали? Они сказали, что единственное, что можно сделать, это переставить ось с потерей всех данных. В итоге из циклической перезагрузки я смог вернуться на предыдущую сборку (на компе две системы, поэтому загрузочное меню всегда отображается, и можно выбрать те самые Advanced Options).
Но ещё раз: как вы узнали? Неужели только опытным путём?
По-моему самый "забавный" нюанс Win 10 — это 100% нагрузка на диск, причём это может быть и защитник Windows или какая-нибудь фоновая интеллектуальная служба передачи или ещё какая-нибудь ересь. Не понимаю, как MS смогла так накосячить с системными службами. Интересно, есть где-нибудь полный список того, что надо отключить, чтобы винда оставила диск в покое?
Я виндой уже давно не пользуюсь, это друзья просят помочь периодически. Одну тормозящую в текущий момент службу им отключишь, так через пару дней уже что-то другое снова диск убивать начинает. В общем, ппц какой-то.
Вообще, в 10-й винде нормальный мониторинг ресурсов из коробки, но не всегда показывает конкретную службу, бывает просто System пишет и всё.
bcdedit /copy {current} /d "Безопасный режим"
msconfig → Загрузка → Таймаут: 2; Безопасный режим → Минимальная
Для входа в безопасный режим достаточно при загрузке, когда появится выбор ОС, шевельнуть мышью (таймер пропадёт) и выбрать «Безопасный режим».
Минус: на несколько секунд удлиняется каждая загрузка
Плюс: не нужно судорожно нажимать F8
Как оказалось, в win10 убрали по-умолчанию возможность при старте винды зайти в безопасный режим ( safe-mode ).
Эмм… Как убрали? Я в него сегодня заходил, когда крах системы получил после установки апдейтов. После загрузки появлялось кольцо с точками и вертелось бесконечно на черном экране.
Забавные нюансы Win10 и что с этим делать