#77

Дата выхода: 05.10.2021
Актуальная версия: 23H2 (22631.7079) / 24H2 (26100.8457) / 25H2 (26200.8457) / 26H1 (28000.2113)

КРАТКОЕ ВВЕДЕНИЕ | ЗАГРУЗКА ОБРАЗОВ | ТРЕБОВАНИЯ К СИСТЕМЕ

Windows 11 — операционная система следующего поколения для персональных компьютеров и рабочих станций, разработанная корпорацией Microsoft в рамках семейства Windows NT, является наследницей Windows 10.



Capushon - запрет на постинг до 14.07.26

Лучше удалить оба и сделать новый нормального размера (с запасом) по инструкции
https://support.microsoft.com/ru-ru/top ... c8229763bf
Создавать раздел (п5) можно и в графических утилитах, главное после этого выполнить gpt attributes (или set id для MBR) в diskpart.

4e_alex Спасибо. Я уже выше отписался, что все сделал) Просто удалил ненужный, и расширил за счёт свободного места соседний раздел.

Пожалуйста.

Добавлено спустя 12 минут 4 секунды:

Очень полезное обновление, серьёзные баги при работе с гипервоизором пофиксили.



В "отозванные", так же прилично новых ключей добавили, в биосе почти около 10-ка новых в Forbidden Signature.

p.s get-Securebootsvn скорее всего пофиксили, судя по команде обновили с этим апдейтом Boot Mnager/svn - теперь он 9.0 на моём оборудовании, но для защиты от Лотуса, и других буткитов/руткитов против подмены версии менеджера загрузки, для обновления Frimware SVN - после таких апдейтов, придётся прописать руками.



Это на свой страх и риск, т.к требует подписанного загрузчика 2023 - при "отзыве" PCA 2011, и обновленной машины ключами.

https://support.microsoft.com/en-us/top ... ff139f832d

После поза прошлого обновления при завершение работы ПК появилась ошибка:
Инструкция по адресу 0х00007FF9476DBEBE обратилась к
памяти по адресу 0x00007FF964970000. Память не может
быть written.

И она есть даже на VMware Workstation, виртуальной чистой Windows 11. И тоже после обновы.

Уже на форуме писали о такой ошибке. Кто то нашел решение как исправить?

Обновилось.

Microsoft продолжает отзывать дырявые загрузчики в которых продолжают находить новые баги.

Прикольно что есть люди понимающие в SecureBoot, но какой в нем сакральный смысл для вас? Или это скорее, просто желание иметь все новое и последние?

Утро доброе, смысл простой: сохранение цепочки доверия на этапе предзагрузки ос -защита от компроментации малварью на этом этапе -что даст доступ в изолированные процессы, т.к зараженная машина будет работать поверх гипервизора - и ей будет плевать на все остальные настройки безопасности, совместимость с последними античитами/играми и софтом при работе связки SB+TPM 2.0 и дополнительная защита ключей шифрования и пинкодов, в изолированном процессе(lsass.exe) "Изоляция LSA" от малвари

Без SB, Tpm и так этого не даст сделать особенно если включён Intel TXT, но инжект уже можно попробовать, или подмену драйвера, если выключена "изоляция памяти" и VBS.

В целом это "пить, есть не просит" - на самых современных цпу - связка HCVI+SB+TPM 2.0 - "бесплатна" для производительности, и почему не использовать?, т.к это значительно повышает общую безопасность ос и системы, без штрафов. Помимо игр, есть целый спектр корпоративного софта, криптокошельки, разные виртуальные машины и софт - где IsSecureKernelRunning в 0 , будет либо проблема, либо просто тогда теряется смысл использования, как и статус LsaIsoLaunchAttempted: 1 теряет смысл без включенного SB и обновленного загрузчика, особенно на платах, где Intel TXT захайден или не работает по умолчанию, по разным причинам.

Есть ещё другие детали, почему это полезно. Люди кто обычно обновляет это - чётко понимает, зачем это нужно и где применяется. Главный смысл такой, если на этапе предзагрузки - ос и ядро скомпрометировано такой малварью, все остальные настройки безопасности - теряют смысл, VBS/HCVI, или запуск lsass.exe как PLL процесс, потому-что при скомпроментированном ядре - и низкоуровневой малвари, статус этих опций может быть в зелёной зоне, но по факту ничего не мешает делать с Пк что угодно, читать данные в памяти, сливать, или просто юзать Пк в любых целях, например как один из клиентов в вредоносном ботнете. И всё это в 99% случаев будет невидимо для большинства АВ и пользователей.

p.s Это на заметку всем любителям скачивать взломанные Denuvo игры, где обход защиты и сам кряк - сейчас работает в своём гипервизоре, а пользователю для запуска просят отключить целый набор защит, SB,VBS/HCVI - по сути запуск такой игры это (Hypervisor Bypass) c уровнем привелегий Ring -1, -2 , со всеми вытекающими для ваших ключей PK/EK ,TPM и целевой машины. Кстати некоторые известные репакеры - отказались от распространения ИМЕННО таких игр, с таким методом взлома, либо стали делать метку: шильдик как опасные: "очень" "неожиданно" , никто не хочет брать на себя риски "получить по шапке" и потерю репутации с доходами, потому-что по сути это добровольный запуск руткита себе на Пк.

Вот зачем бывает полезен, включенный и обновленный SB.

это тоже малварь, но микрософто-интеловский и может творить что хочешь и хер ты что сделаешь.
поэтому все эти тпмы, плутоны, свмы и прочую хрень в биосе надо вырубать...
ну или делайте что хотите

A224 Надо еще отрубить антивирус и клацать по всем сомнительным баннерам, ведь это тоже пропаганда интела и майкрософт. Да?

У меня так же было, потом я снес то обновление, и все нормально стало, много что делал ничего не помогло, новое обновление еще пока не устанавливал, может и пофиксили они эту проблему, надо установить и проверить

Тут уж ничего не поделать, но есть важные нюансы: Intel ME frimware/AMT например и так по сути имеет Ring -3 привелегии, а код закрыт и зашифрован -я имею ввиду исходники недоступны, работать можно с бинарями, обновлять прошивку и конфигурировать утилитами, да и сетевой стек у него свой, может работать в обход Ос, у AMD PSP - похожий набор функций, но одно дело - когда ты сам запускаешь что угодно и потом Пк становится вредоносным ботнетом, который можно потом исправить только программатором или мп в утиль. А другое дело официальный функционал,

Но есть другие 2 весомых нюанса, ME - гарантировано может работать в плане сетевых функций "в тёмную", только через свои Интел адаптеры и при наличии хотя бы дежурного питания/ это если в обход Ос. С Realtek pcie чипами, дискретными или распаянными на мп, он не умеет этого делать, по крайней мере не умел, как сейчас не знаю. И другой момент, AMT на некоторых корпоративных ноутбуках и готовых системах для бизнес сегмента, можно просто вырубить - в биосе, официально. На десктопах - был раньше проект Me_cleaner, но это костыль..

Так что вырубать TPM+SB не нужно - вредный совет), потому-что помимо кучи официальных бэкдоров, нет никакого резона "гадить" свою машину всем остальным. Это всё равно что сказать, раз у Анб и Ос есть чёрный ход в "твою квартиру", не надо тогда совсем "двери закрывать" от всех остальных.)) Это мягко говоря, без обид: бредятина.

Для меню пуск никакой кастомизации не добавили

Ты A224 видимо не знаешь, у него есть хобби, отрубать всё подряд в биосе что видит и что ему неинтересно.

Нет я не в курсе , теперь буду знать.

Добавлено спустя 42 минуты 57 секунд:

не сталкивался на последних билдах уже давно, вы инспектировали свою систему ?, DISM/sfc ? - там целое всё?, sigverif смотрели список своих драйверов, есть что неподписанное?

в кодах ошибок, нет 0xc0000005 ?, если есть это Acces Violation- права доступа к памяти, скорее всего: попытка залезть в "чужую память", или "защищённую" область. Хотя и при разгоне бывает такое и других проблемах. Но при разгоне/битых плашках, обычно в рандомный софт такое сыпет, а не в какой-то конкретный. Антивирусов нет ?, софт от материнки или управления подсветкой?, MSI AB или кулерами, ещё что-то?

0x00007FF, это 64-битный адрес пользовательского режима, софт какой-то прога или библиотека. Для начала посмотрите журнал приложений/системы в момент ошибки по времени, если там не видно - что и где подозрительного. Есть Windbg - который можно поставить через магазин Windows, его можно "натравить" на обработку таких ошибок Read/write в реальном времени.

Скачайте его в магазине, запустите один раз и выйдите, в командной строке, пропишите потом его регистрацию в качестве "посмертного" дебагера

Вот так как на скриншоте



, при вводе WinDbgX.exe /I в cmd - открывается его окно и он регистрируется PostMortem - Дебагером, о чём он сам сообщает.

Далее закрывайте всё и провоцируйте ошибку, при ошибке он должен выскочить(его окно), потом можно использовать для анализа вертикальный символ в поле команд: | , или проще сразу сделать !analyze -v , там вам напишут детально, поищите сбойные модули, сам инициатор ошибки и другие коды и детали. При !analyze -v должен быть доступ к сети для скачивания *symbols , они нужны для анализа. Как всё проясните, или нет. Регистрацию дебагера в качестве такого отладчика, можно удалить, WinDbgX.exe /U

чоткая прога, удивляет что упоминается она в обеих темах винды всего 2,5 раза, половина из которых твои. Не хочет народ в отладку по феншую, когда и логи и инструменты в наличии. Я с ее помощью нашел виновника своего бсода, который с тех пор не повторился ни разу.

На счёт подписанного загрузчика 2023

У меня на старом железе (см. профиль) Secure Boot включён и TPM нет. Однако, в Событиях ошибок, связанных с SB&TPM = нет:
Имя журнала: System
Источник: Microsoft-Windows-TPM-WMI
Дата: 10.06.2026 3:54:06
Код события: 1808
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:
Пользователь: СИСТЕМА
Компьютер: DESKTOP-Z97
Описание:
Это устройство обновило ЦС/ключи безопасной загрузки. Сведения о подписи устройства включены здесь.
DeviceAttributes: BaseBoardManufacturer:ASUSTeK COMPUTER INC.;FirmwareManufacturer:American Megatrends Inc.;FirmwareVersion:2903;OEMModelBaseBoard:Z97M-PLUS;OEMManufacturerName:ASUS;OSArchitecture:amd64;
BucketId: da8768bc1087a5751bdf5d888bfc4e756caf89e5391a188ab2688191fb05120c
BucketConfidenceLevel: High Confidence
UpdateType: Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager (2023) = ключи обновлены!

не все любят ставить что-то из Store, особенно новомодные версии, у WindbX- из стора при всех удобствах новой версии, есть существенный недостаток, вернее не конкретно его, а то что MS защищает APPX(изолирует) и перехват чего то из WER может не сработать, то что я "накалялкал" выше ошибки нет, но не факт что будет перехват автоматом.

В любом случае можно заюзать классическую версию из SDK/ISO - прописать её в любое место и зарегать, а так все "падения" должны быть в "журнале стабильности" у товарища SpiritMen , это очень простой и полезный инструмент, с него и журнала ос можно начинать поиск проблем.

Ждём в следующих обновлениях.