Комментарии 71
bcdedit /set {default} bootmenupolicy legacy Стараюсь везде вводить, стелить соломку.
А не сталкивались, почему-то при выключении ноута с Win10 на экране крутится пару секунд "Завершение работы", потом экран гаснет, но ноут не выключается, а тут же включается экран и там опять рабочий стол, со всеми включенными программами, даже браузер со вкладками, как будто ничего и не завершалось.
Только сейчас из-за вашего поста об этом вспомнил, так как проявляется по вечерам и после этого я его вместе с собой в спящий режим перевожу, не выключал уже пару месяцев.
Может он так быстро перезагрузился? (шутка, хотя кто его знает)
У меня что-то подобное наблюдалось, я просто не мог выключить компьютер (даже не начинался процесс завершения работы). Потом исчезла проблема. Так вырубал жестко ресетом предварительно завершив все важное ручками.
У меня что-то подобное наблюдалось, я просто не мог выключить компьютер (даже не начинался процесс завершения работы). Потом исчезла проблема. Так вырубал жестко ресетом предварительно завершив все важное ручками.
Я сталкиваюсь часто с таким. Всё также и пользуюсь спящим режимом часто. Приходится перезагружать чтобы выключить. Происходит это на ПК.
Попробуйте отключить в диспетчере устройств Intel Management Engine Interface, может поможет :) У меня тоже что-то странное было с выключением и сном до этого.
Включение только в активной системе режима, который предназначен для загрузки системы, которая в нормально режиме загрузиться не может — это гениально.
Чем больше смотрю на все это, тем больше мне кажется, что Microsoft старательно пытаются ухудшить безопасность систем.
Ведь способ входа через bcdedit легко перехватывается вредоносами еще на уровне пользователя.
Инжект кода в explorer.exe -> перехват NtCreateProcess, в инжект кода в каждый процесс создаваемый этой функцией, если это не bcdedit.
Если это bcdedit — вызов функции SetLastError(ERROR_ACCESS_DENIED);
При помощи таких библиотек, как Minhook это делается за пол часа и запретит вход в безопасный режим.
Теперь вопрос: Нафига MS сделали это таким образом?
Ведь способ входа через bcdedit легко перехватывается вредоносами еще на уровне пользователя.
Инжект кода в explorer.exe -> перехват NtCreateProcess, в инжект кода в каждый процесс создаваемый этой функцией, если это не bcdedit.
Если это bcdedit — вызов функции SetLastError(ERROR_ACCESS_DENIED);
При помощи таких библиотек, как Minhook это делается за пол часа и запретит вход в безопасный режим.
Теперь вопрос: Нафига MS сделали это таким образом?
эм а в чем уменьшение безопасности-то? я что-то не понял. Запустить bcdedit можно только с правами админа, вызов библиотеки тоже без прав не продет. Если другими средствами проведена эскалация прав до админских, то собственно уже не важно какими средствами будет убиваться система. И проблема явно в эскалации прав. Опять же если есть физический доступ и возможность загрузки с внешнего носителя + не криптованный загрузочный диск — то защита уже обойдена. Вот в системе с зашифрованными дисками — я не знаю. Шифруется ли диск, на котором живет BCD? Надо проверять, удастся ли изменить BCD при загрузке с внешней системы, хотя я все равно не вижу большого поля деятельности для вредоноса. Возможно я чего то не вижу.
Подразумевается, что вредонос работает из под той же учеткой. Обходов уак существует уйма. В W10 например есть незакрытый через eventvwr
> Если другими средствами проведена эскалация прав до админских, то собственно уже не важно какими средствами будет убиваться система
Почему убиваться? Тут вопрос стоит в закреплении. Время когда вредоносы убивали систему прошло давно.
> Шифруется ли диск, на котором живет BCD? Надо проверять, удастся ли изменить BCD при загрузке с внешней
Че вы несете? Извините за грубость. Даже через обычный канал попадет вредонос на учетку админскую уже не получится прогрузиться в безопасном, чтобы вынести заразу.
Вы видимо не понимаете, что перехват API происходит в памяти и не важно где bcd находится, вообше не важно что где находится, ибо это все в одном месте — в виртуальной памяти.
> Если другими средствами проведена эскалация прав до админских, то собственно уже не важно какими средствами будет убиваться система
Почему убиваться? Тут вопрос стоит в закреплении. Время когда вредоносы убивали систему прошло давно.
> Шифруется ли диск, на котором живет BCD? Надо проверять, удастся ли изменить BCD при загрузке с внешней
Че вы несете? Извините за грубость. Даже через обычный канал попадет вредонос на учетку админскую уже не получится прогрузиться в безопасном, чтобы вынести заразу.
Вы видимо не понимаете, что перехват API происходит в памяти и не важно где bcd находится, вообше не важно что где находится, ибо это все в одном месте — в виртуальной памяти.
стоп стоп. про шифрование и остальное я говорил в контексте загрузки с внешнего носителя ( флешка, загрузочный диск и т.д.).
а по поводу закрепления, так причем тут BCD. если вредонос уже в системе и уже поднялся, неважно как, до прав админа — то методов закрепления столько что запрет вызова защищенного режима да вообще возможность записи в BCD уже никакой роли не играет… Поздно пить боржоми когда почки уже отпали )) Все равно любые действия по ремонту\лечению системы в таком случае уже надо делать только и исключительно после загрузки с чистой системы.
Ну и в общем с тем, что увы, но win10 пока явно не входит в категорию хорошо защищенных систем — я даже не думал спорить. Вопрос — что входит? нет. даже не так. Что входит в эту категорию, предоставляя пользователю необходимый сервис, включая пользовательское программное обеспечение? Это разговор отдельный не на одну статью, хотя если кратко то универсального — ничего. И каждый раз надо сначала очень тщательно обговаривать задачи.
а по поводу закрепления, так причем тут BCD. если вредонос уже в системе и уже поднялся, неважно как, до прав админа — то методов закрепления столько что запрет вызова защищенного режима да вообще возможность записи в BCD уже никакой роли не играет… Поздно пить боржоми когда почки уже отпали )) Все равно любые действия по ремонту\лечению системы в таком случае уже надо делать только и исключительно после загрузки с чистой системы.
Ну и в общем с тем, что увы, но win10 пока явно не входит в категорию хорошо защищенных систем — я даже не думал спорить. Вопрос — что входит? нет. даже не так. Что входит в эту категорию, предоставляя пользователю необходимый сервис, включая пользовательское программное обеспечение? Это разговор отдельный не на одну статью, хотя если кратко то универсального — ничего. И каждый раз надо сначала очень тщательно обговаривать задачи.
Сделано это для уменьшения времени загрузки. Я в безопасный режим вхожу по-другому на 19-ке/8-ке -включаю комп, во время загрузки жму кнопку рестарт, после рестарта появляется меню где можнно выбрать безопасный режим(хотя так неправильно конечно, зато просто и всегда доуступно)
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Ну так это и тянется ещё с 8ки. Они в ней ввели в настройки кнопку, перезагрузиться режиме продвинутого пользователя. Потому что иначе человек просто не успевал ткнуть на кнопку вовремя
Кстати невероятно тупая отмазка с их стороны. Кто мешает держать F8 зажатой при при включении для активации безопасного режима? Очевидно это не реализовали по тому, что не хотели, а не потому, что не могли.
Знаете. Я уже давно зарёкся вот так пальцем в небо оценивать чужие мотивы.
Со всем тем легаси, что им приходится поддерживать очень трудно предсказать, как зажатая кнопка выстрелит. Это новое поведение, под которое не подстраивались сторонние разработчики. Не сломается ли какой-нибудь кривонаписанный bios/uefi и т.д. и т.п.
Со всем тем легаси, что им приходится поддерживать очень трудно предсказать, как зажатая кнопка выстрелит. Это новое поведение, под которое не подстраивались сторонние разработчики. Не сломается ли какой-нибудь кривонаписанный bios/uefi и т.д. и т.п.
Например Asus мешает — у него F8 это вызов Boot menu.
Если десятка еще работает, то самый простой способ попасть в safe mode — все-таки Shift+Restart.
НЛО прилетело и опубликовало эту надпись здесь
угу… в 7-ке и ниже. в 10-ке, а говорят уже и в 8-ке, нету ничего ни по ctrl, ни по F8, если предварительно не разрешить.
НЛО прилетело и опубликовало эту надпись здесь
«если предварительно не разрешить»
Фича есть — но по умолчанию она заблокирована. Если вы себе соломки подстелили — то это не значит, что все остальные сделали то же самое. Особенно люди не слишком продвинутые узнающие о том, что они, оказывается, должны были залезть куда-то в настройки и что-то там такое сделать когда их Windows ещё работала.
Гениальное дизайнерское решение!
P.S. Также эта фича может у вас быть если вы не используете EFI и грузитесь через эмуляцию BIOS'а. Там просто Microsoft ничего не «улучшал» и фича осталась как есть… но могут быть другие проблемы, так как этот режим особо и не тестирует никто. У меня при загрузке через BIOS, скажем, отваливается кард-ридер!
Фича есть — но по умолчанию она заблокирована. Если вы себе соломки подстелили — то это не значит, что все остальные сделали то же самое. Особенно люди не слишком продвинутые узнающие о том, что они, оказывается, должны были залезть куда-то в настройки и что-то там такое сделать когда их Windows ещё работала.
Гениальное дизайнерское решение!
P.S. Также эта фича может у вас быть если вы не используете EFI и грузитесь через эмуляцию BIOS'а. Там просто Microsoft ничего не «улучшал» и фича осталась как есть… но могут быть другие проблемы, так как этот режим особо и не тестирует никто. У меня при загрузке через BIOS, скажем, отваливается кард-ридер!
Не так давно прошивал биос на ноутбуке thinkpad, по окончанию операции ноутбук был перезагружен, однако Win10 стартовать отказывалась, появлялся синий экран где мне предлагали попробовать восстановить ОС либо зайти в безопасный режим. Так что в безопасный режим я зашел без проблем, прежде никаких команд не выполнял, с чем это связано? Под категорию «если винда жива» уже не попадает.
Однократно в безопасный режим (или другой служебный режим) можно зайти и без консоли.
Для этого надо зайти: Пуск -> Параметры(иконка шестерёнки) -> Обновление и безопасность -> Восстановление
И там под вариантом «Особые варианты загрузки» нажать «Перезагрузить сейчас».
Для этого надо зайти: Пуск -> Параметры(иконка шестерёнки) -> Обновление и безопасность -> Восстановление
И там под вариантом «Особые варианты загрузки» нажать «Перезагрузить сейчас».
по поводу 1го пункта:
В стартовом меню нажмите кнопку Power и, зажав Shift на клавиатуре, выберите пункт перезагрузки системы (Restart)
В появившемся диалоге последовательно выберите пункты Troubleshoot (Диагностика) -> Advanced options (Дополнительные параметры)-> Startup Settings (Параметры загрузки).
В стартовом меню нажмите кнопку Power и, зажав Shift на клавиатуре, выберите пункт перезагрузки системы (Restart)
В появившемся диалоге последовательно выберите пункты Troubleshoot (Диагностика) -> Advanced options (Дополнительные параметры)-> Startup Settings (Параметры загрузки).
Это ведь то же самое что зажать shift при загрузке и дальше выбрать способ загрузки?
Меню загрузки F8 убрали еще в Windows 8, как и запуск этого меню из работающей ОС.
Где-то встречал забавное объяснение этого поступка: новая операционная система загружается так быстро, что пользователь не успеет нажать F8. В принципе, для некоторых компьютеров с UEFI это недалеко от правды.
Где-то встречал забавное объяснение этого поступка: новая операционная система загружается так быстро, что пользователь не успеет нажать F8. В принципе, для некоторых компьютеров с UEFI это недалеко от правды.
Вы пробовали перезагружать ноутбук удерживая Shift?
Возможность загрузиться в Safe mode появляется после нескольких неудачных попыток загрузки.
Следующим этапом — заменить реестр на текстовые файлы
Нюанс в том, что реестр не личная придумка MS, он был сделан совместно с IBM и внедрен в Windows и OS/2, а также, внимание, в суровый тру Unix от IBM, который жив и по сей день и называется AIX. Выглядит он там совсем по-другому, но идея все та же: бинарное, древовидное хранилище для параметров.
А попробйуте еще установить неподписанные драйвера.
А ещё win10 умеет просыпаться из спящего режима для установки обновлений. Отключается в настройках режима энергосбережения.
PS. Win10, как собственно и WinSRV 2012 и выше, все больше и больше становятся похожи на Unix. Все больше и больше важных, но скрытых, настроек можно изменить исключительно (или, как минимум, намного проще и удобнее) из командной строки.
Чтобы windows был действительно больше и больше похож на линукс, там надо открыть код системы как минимум, из чего вытекают кастомные форки, 100% чистые версии и портирование на множество платформ и глобальная чистка кода от синих экранов.
Но, к сожалению (или к счастью) Microsoft на такое никогда не пойдет.
if (Lunix==!Unix){
Lunix и Unix это разные ОС с разными лицензиями;
Не надо их мешать в один котел;
}
esle{
Error;
}
Lunix и Unix это разные ОС с разными лицензиями;
Не надо их мешать в один котел;
}
esle{
Error;
}
Знаешь, есть выражение прикольное… ну ты понял, когда острят. Можешь перепечатать мой коммент, замени линукс на юникс, смысл не поменяется.
А причём тут это? Unix, как бы, взлетел, как раз за счёт открытости и доступности исходников… Потом, правда, были «войны», которые привели к тому, что все всё позакрывали и проиграли войну тому же Linux'у (и, в меньшей степени, Microsoft'у), но во времена расцвета — исходники вполне приезжали вместе с системой…
НЛО прилетело и опубликовало эту надпись здесь
Очистить ядро (если оно есть в винде) от кода, которым его облепили годами. Чтобы как в линуксе было.
Вот неплохая статья на эту тему: https://geektimes.ru/post/283544/
Смысл в том, чтобы не забивать ядро говнокодом, это вопрос и саппорта ядра и лишних глюков.
Вот неплохая статья на эту тему: https://geektimes.ru/post/283544/
Смысл в том, чтобы не забивать ядро говнокодом, это вопрос и саппорта ядра и лишних глюков.
НЛО прилетело и опубликовало эту надпись здесь
Хватит с необразованной школотой спорить, а то до ее уровня спуститесь, где она вас задавит своим опытом.
Я так и не понял, о каких глюках и синих экранах идёт речь. На своей любимой Windows XP x64 я их видел лишь тогда, когда у меня сбоила оперативка из-за слишком низких таймингов.Что любопытно, они именно с XP начали борьбу с синими экранами, выведя драйверы в отдельный слой. В 7ке ввели обязательную сертификацию драйверов (вою-то было по этому поводу). В восьмерке уже научились обрабатывать сбоящий видео драйвер: сейчас он в случае сбоя перезагружается не перегружая всю систему.
НЛО прилетело и опубликовало эту надпись здесь
Ок, насчёт драйверов в отдельный слой я не нашёл. Но они с XP стали вести базу глючных драйверов, и добавили возможность лёгкого отката (не переустанавливая винду как раньше) https://technet.microsoft.com/en-us/library/bb457035.aspx
Ключевая мысль была, что именно в xp началась активная борьба с левым кодом драйверов и бсодами.
Ключевая мысль была, что именно в xp началась активная борьба с левым кодом драйверов и бсодами.
Кто может, а кто не может вливать свод код в код винды знает только Мелкософт. Поиском глючного кода и фрагментов от сторонних фирм я заниматся не стану, даже если исходники будут у меня на руках. С какого перепуга мне коддерживать код винды?
Не совсем так:
А windows:
В предоставленной вами статье вся суть и была в том, что AMD не хотела поддерживать свой код под постоянно меняющиеся интерфейсы и пыталась спихнуть это на сообщество. Сообщество послало AMD в пешее. А в Windows интерфейсы меняются только с выпуском новых версий, что позволяет запиливать новые дрова в течении более чем 10 лет.
Не совсем так:
No HALs. We don't do HALs in the kernel.[+]
А windows:
Скажите, как? Как вы узнали, что циклическая перезагрузка происходит от установок локали типа Русский (Украина)?
Я в своё время, когда пытался обновиться на anniversary Update на работе (теперь плюнул и не пытаюсь, но после вашей статьи ещё раз попробую), мало того, что излазил все форумы, так ещё и с МС в онлайн-чате общался. И знаете, что они таки мне сказали? Они сказали, что единственное, что можно сделать, это переставить ось с потерей всех данных. В итоге из циклической перезагрузки я смог вернуться на предыдущую сборку (на компе две системы, поэтому загрузочное меню всегда отображается, и можно выбрать те самые Advanced Options).
Но ещё раз: как вы узнали? Неужели только опытным путём?
Я в своё время, когда пытался обновиться на anniversary Update на работе (теперь плюнул и не пытаюсь, но после вашей статьи ещё раз попробую), мало того, что излазил все форумы, так ещё и с МС в онлайн-чате общался. И знаете, что они таки мне сказали? Они сказали, что единственное, что можно сделать, это переставить ось с потерей всех данных. В итоге из циклической перезагрузки я смог вернуться на предыдущую сборку (на компе две системы, поэтому загрузочное меню всегда отображается, и можно выбрать те самые Advanced Options).
Но ещё раз: как вы узнали? Неужели только опытным путём?
По-моему самый "забавный" нюанс Win 10 — это 100% нагрузка на диск, причём это может быть и защитник Windows или какая-нибудь фоновая интеллектуальная служба передачи или ещё какая-нибудь ересь. Не понимаю, как MS смогла так накосячить с системными службами. Интересно, есть где-нибудь полный список того, что надо отключить, чтобы винда оставила диск в покое?
Ни разу не видел чтобы что-то кроме службы индексации и дефендера нагружало диск на достаточно продолжительный срок чтобы заметить. Вы пробовали посмотреть что за служба у вас этим страдает?(через мониторилки типа Process explorer/FileMon)
Я виндой уже давно не пользуюсь, это друзья просят помочь периодически. Одну тормозящую в текущий момент службу им отключишь, так через пару дней уже что-то другое снова диск убивать начинает. В общем, ппц какой-то.
Вообще, в 10-й винде нормальный мониторинг ресурсов из коробки, но не всегда показывает конкретную службу, бывает просто System пишет и всё.
Общество анонимных процессов — усё началось с svchoct :)
Мониторинг ресурсов то нормальный, но далеко не всегда достаточно подробный. Сторонние же утилиты показывают что было запущено, откуда, с какими ключами/параметрами и тд. В случае с системными процессами типа svсhost показываются какие именно службы запущенны в конкретно этом процессе.
Я безопасный режим добавляю так:
Для входа в безопасный режим достаточно при загрузке, когда появится выбор ОС, шевельнуть мышью (таймер пропадёт) и выбрать «Безопасный режим».
Минус: на несколько секунд удлиняется каждая загрузка
Плюс: не нужно судорожно нажимать F8
bcdedit /copy {current} /d "Безопасный режим"
msconfig → Загрузка → Таймаут: 2; Безопасный режим → Минимальная
Для входа в безопасный режим достаточно при загрузке, когда появится выбор ОС, шевельнуть мышью (таймер пропадёт) и выбрать «Безопасный режим».
Минус: на несколько секунд удлиняется каждая загрузка
Плюс: не нужно судорожно нажимать F8
Как оказалось, в win10 убрали по-умолчанию возможность при старте винды зайти в безопасный режим ( safe-mode ).
Эмм… Как убрали? Я в него сегодня заходил, когда крах системы получил после установки апдейтов. После загрузки появлялось кольцо с точками и вертелось бесконечно на черном экране.
В безопасный режим можно войти сделав несколько раз hard reset на этапе загрузки системы.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Забавные нюансы Win10 и что с этим делать