微软UCPDsys后门事件核心观点 - 微软UCPDsys驱动被曝存在后门行为 对中国地区用户强制开启数据收集并针对中国软件进行限制 [1][2][3] - 该驱动通过注册表隐藏加密数据 动态释放未知可执行程序 具备远程代码执行能力 [2] - 微软被指利用系统底层权限进行不正当竞争 对中国用户实施歧视性监控 [12] UCPDsys工作机制 - UCPDsys在系统注册表深层路径写入加密数据 持续监视注册表路径变更 [2] - 驱动通过云端配置系统接收数据 调用解密逻辑转换成可执行程序直接运行 [2] - 当检测到系统地理位置编码为中国及其地区时 激活额外监控功能并开启日志上报 [3] - 日志内容详尽 包括进程路径 数字证书签发者 注册表修改记录及驱动版本等信息 [4] - 若用户开启"发送可选诊断数据" 日志将被加密上传至微软服务器 [5] 对中国用户的区别对待 - UCPDsys仅对中国地区用户强制开启数据收集机制 [1] - 在欧盟地区 受《数字市场法》约束 微软提供"公平模式" 用户可一键切换默认应用且系统不阻拦 [5] - 该驱动会阻拦用户将微软默认浏览器或PDF阅读器变更为国产软件 甚至在系统更新后自动恢复微软默认设置 [1] 对中国软件的针对性限制 - UCPDsys通过三重黑名单机制限制中国软件 包括数字签名黑名单 进程名黑名单和进程路径黑名单 [7][10] - 数字签名黑名单直接针对中国厂商数字证书 如腾讯 360 金山 WPS 搜狗 联想等 [8][9] - 进程名黑名单包含"360Trayexe" "2345SFGuard64exe"等中国软件进程 [10] - 进程路径黑名单检查程序是否安装在特定中国厂商目录下 如"safemon" "kingsoft" "2345Soft"等 [11] - 被限制软件覆盖安全防护 办公工具等核心领域 包括360 腾讯 金山 WPS 搜狗 2345等 [6] 潜在安全风险与历史关联 - UCPDsys的远程代码执行机制被视为系统后门 带来潜在安全风险 [12] - 2022年7月至2023年7月 美国情报机构利用微软Exchange漏洞长期攻击中国军工 航天及生物医药企业 [12] - 2025年哈尔滨亚冬会赛事信息系统遭境外网络攻击超5000万次 攻击疑利用Windows操作系统预留后门 [12]