UCPD.sys重新调查，微软如何为中国用户电脑留下后门揭秘

UCPD.sys再调查揭示微软在中国用户电脑中留后门事件，经过深入研究，发现微软在开发过程中可能存在疏忽或不当行为，导致后门漏洞，这一事件引起了广泛关注和讨论，引发了公众对软件安全性的担忧，微软正在面临公众对其行为的质疑和调查，同时需要采取措施加强软件安全性并修复后门漏洞。

在上一篇文章里，我揭露了微软利用垄断地位使用 UCPD.sys 在用户不知情的前提下，重置默认应用、精准屏蔽中国软件、引导用户使用微软相关软件的不正当的行为。此后，经过大量调查和取证，以及层层拆解，我发现：在这场UCPD全球独家狙杀中国企业的背后，既有粗暴的商业垄断，更有一场以安全为名，针对中国用户的后门布局。

藏在注册表里的隐形后门

UCPD.sys 不仅仅是重置默认应用那么简单。

它的云配置会在系统注册表深层路径写入加密数据，并持续监控该注册表项的变化。一旦检测到数据写入，它便立即读取并解析内容，随后调用解密逻辑，将数据转换为可直接运行的可执行程序（PE 文件）。而这些程序无需用户安装即可运行，功能未知，甚至可接收远程指令。

（UCPD启动时会创建专门的线程用于监测指定注册表项的变更）

(线程函数：循环监控指定注册表项，一旦变化即读取并处理键值）

UCPD.sys 的云配置会向注册表项 HKLM\SYSTEM\CurrentControlSet\Services\UCPD\DR 写入加密数据，主要包括两类内容：

DWORD 值（功能开关）

每一位对应一项功能，1 表示启用，0 表示禁用。读取后会写入 UCPD 的全局功能开关 dword_14001E700，用于控制各功能是否生效。

字符串值（PE 文件）

该字符串为编码数据，先转换为 ANSI 并 Base64 解码还原为 PE 文件，再进行文件头和数字签名校验。验证通过后，解密文件并加载执行。

（该函数会对字符串进行 Base64 解码和 Hash 校验）

（该函数会校验 DOS 头、NT 头、节表及数字签名等信息）

最终，UCPD.sys 在完成对解码数据的所有校验后，会对文件进行解密，并将其加载执行。换句话说，UCPD.sys本身具备远程加载与执行的潜在能力，这远比改回默认浏览器更具威胁。

偷偷上报中国用户的数据

更令人不安的是，它对中国用户有额外一层监控。

UCPD.sys 会读取注册表中的地理位置代码，当代码属于中国大陆（45）、中国香港（104）、中国澳门（151）或中国台湾（237）时，则会自动激活监控功能，将本地相关数据打包为遥测数据并通过加密通道上传至微软服务器，而其他地区用户目前都不会触发这一机制。也就是说，这不是全球策略，而是有针对性的差异化行为。

微软官方地理位置编码：https://learn.microsoft.com/zh-cn/windows/win32/intl/table-of-geographical-locations

（判断地理位置是否属于中国大陆、中国香港、中国澳门或中国台湾）

（中国用户会激活监控功能并上报日志，非中国用户则不激活且不上报日志）

通过工程分析，UCPD.sys 中的每个主要功能都会生成事件日志，用于记录操作的关键细节。日志内容包括注册表操作或句柄操作（如打开进程或线程）的信息，例如进程路径、PE 文件数字签名摘要、要修改的注册表路径及键值、修改前后的数值，以及 UCPD.sys 本身等信息。通过这些日志，可以精确还原用户进程在修改注册表或创建进程、线程时的操作场景。

通常情况下，用户操作会生成日志。例如，在 StackTrace 检查中，即便栈帧所属模块未签名且不在黑名单内，检查通过时仍会记录日志。这些日志可用于后续分析，并支持调整或扩展黑名单。

（调用EtwWriteTransfer写事件跟踪日志）

（UCPD.sys StackTrace防护功能写事件跟踪日志的片段）

（UCPD.sys StackTrace防护功能事件跟踪日志的元数据）

元数据是日志的重要组成部分，用于描述事件的内容，包括事件名称、字段名称及字段数据大小。通过元数据对照代码，可以明确日志记录的具体内容。代码会根据元数据组织实际日志数据，并调用 EtwWriteTransfer 函数生成详细的事件跟踪日志（ETW）。

拦截中国安全软件

工程分析的代码里还揭示，UCPD.sys 通过黑名单机制，专门检测并拦截来自中国厂商的安全软件，包括数字签名、进程名、路径匹配等多重检测。这意味着，一旦国产安全软件试图保护注册表或拦截异常进程，它们可能会被直接斩断手脚。

数字签名检测：采用黑名单机制，名单中均为中国厂商（如360、腾讯等）；在检查调用栈时，如果发现某一帧模块属于黑名单厂商，则直接阻止其执行。

（数字签名黑名单列表）

进程名称检测：通过比对运行中的进程名称，如发现属于黑名单厂商的进程，则直接阻止其执行。

（进程名黑名单列表）

进程路径检测：检查进程的执行路径，如路径匹配黑名单厂商的特定目录或文件位置，则直接阻止其执行。

（路径关键词黑名单列表）

连锁反应正在逼近

在上一篇文章中，许多人把这件事简单看作一次对流氓软件的清理。但大家是否想过：清理流氓软件不应依赖一个未公开、未经授权的内核级后门。

今天被针对的是中国厂商，明天也可能是其他国家、其他企业。比如说：

个人层面：浏览记录、文档内容、账户信息，可能在不知不觉间成为遥测数据。企业层面：商业谈判底价、科研成果、专利方案，一旦外泄，可能让多年的努力毁于一旦。国家层面：关键基础设施、能源和交通系统，可能因此成为潜在攻击入口

哈尔滨亚冬会期间的网络攻击、BITSLOTH 后门事件等历史案例已经说明，这类行为早已超出优化体验的范畴，而是触碰了数字时代的安全红线。后门一旦存在，总会有人尝试滥用。

UCPD不应成为微软在中国的数字租界

当我们把一切便利交给看不见的程序时，也在把未来交到陌生人的手中。UCPD.sys 带来的警示，并非国产厂商与国外巨头的口水战，而是一道数字主权的生死考题。

今天，它重置了你的默认浏览器；明天，它或许能重置你的信息世界。

在这个信息时代，个人隐私、企业命脉、国家安全——早已拴在同一根绳上。

保持警惕，守住选择权，才是我们在数据洪流中的最后防线。

如果我们对默认设置、后台进程和系统更新漠不关心，那么有一天，我们连质疑的权利都可能失去。UCPD.sys 不是唯一的危险，它只是冰山一角。保持怀疑，要求透明，推动标准——这是每一个数字公民的责任，也是未来网络世界得以自由运转的前提。