一切问题的起因,是微信上“玄道夜谈”在8月23日在微信公众号写出一篇分析文章,而我是9月17日一个朋友给我发消息才知道的这件事

UCPD驱动(全称为User Choice Protection Driver,用户选择保护驱动)

想着UCPD.sys在系统当中用Everything很快就能找出来,而之前打CTF留下的IDA还能用,就顺路去看看是怎么一回事

本文仅作事件归档,不构成对于参与事件的各方的有效看法

文件获取与分析

安装了Everything后直接搜索UCPD.sys即可,但第一遍找的时候没找到,在那个时间点应该是Win11相比较于Win10先收到UCPD.sys的更新,我电脑上的版本应该是4.2.0.0,并没有受到影响,去社区逛了一圈(求助各位佬提供一个windows11上的驱动文件)发现有人提供了4.4.0.0版本的文件,就下载下来分析了下

分析结果显而易见:存在一个国家码判别的机制,并且字符串列表里有很多对于国产软件的识别

image

image

分析到这里也就差不多结束了,剩下的就全是网上的各路人马互相开片的事情了😅

缓解方案

Windows 设备设置区域 DeviceRegion(安装时的地区)修改教程

相关资料

FreeBuf: UCPD.sys再调查:拆解微软是如何把后门留在中国用户的电脑里

微信公众号“玄道夜谈”

微软暗箱操作?中国企业遭精准打击?背后藏着什么?

UCPD.sys再调查:拆解微软是如何把后门留在中国用户的电脑里

求助各位佬提供一个windows11上的驱动文件

“ucpd.sys后门事件”详细分析技术报告-他是后门…吗?

结语

你总不能期望网上的人关心你怎么想吧😅当时(2025年9月份)闹了老半天,没见到微软撤回修复,更没见到上面的人就该问题施压,而我甚至懒得称呼这玩意为后门。这事情应该就这样打哈哈过了,存个档表示下我知道这个事情——反正我现在的主力也不是Windows了😛