对了 dwm 占用内存可能原因之一是 intel 显卡驱动的锅

绷不住了... 这里可是 v 站啊🤣

楼主不是来钓鱼的吧😅

网页版微信, 先使用文件助手启用网页版登陆权限.
或者找个干净环境装一个, 直接拷过去绿色使用.

不过, 不准用就不用吧

先做了镜像, 然后在尝试原地建分区

求助数据恢复公司吧. 或者试试 1# 的建议, 原地建一个分区.
另一个建议, 如果是固态, 马上关机.
再加一个建议, 买上京东下单一个 4T 的机械盘, 给当前整个硬盘做个全盘镜像 --- 如果数据真有这么重要的话.

@yanqiyu 确实, 大部分的 fTPM 攻击难度要高得多, 但一些机器还是有在用 dTPM 的.

我个人觉得, 普通人防护到 TPM + secure boot 这一步就可以认为足够了. 再搞下去可用性就大大降低, 如果数据真有这么值钱的话, 也不适合放在不受信任的物理位置了.

对了, 关于 TPM 和 pin:

Bitlocker 的 pin 不是密码, 他应该只是最终发给 TPM 的一个检验因子, 估计会是 PCR11 的某个因子 (乱猜测的, 没有深入了解过).
之前看过相关文档好像是这么说的.


这个 PIN, 就算被人知道了, 也可以在一定时间内保证你的数据安全:
只有这个 pin 是没有用的, 这个 pin 是 tpm 的一个校验因子, 只有其它校验因子, 比如 pcr7 等全部符合要求要求才能解封 tpm 中的密码. (不一定正确, 没有找到明确的文档说明目前常用的 PCR11 到底有哪些东西).


一定时间是指:
攻击者利用 pin 启动进入系统, 但他什么也做不了, 因为 Windows 账户密码阻止了他进一步的操作, 但万一过一段时间后, 你的系统被发现有没有修复的安全漏洞, 此时, 攻击者就能利用漏洞进入你的系统. 所以说, 这个是 "一定时间内" 的安全的.

个人见解:
安全没有绝对的安全, 你唯一能做到的只有保证付出较低的成本来拔高攻击者的成本, 让攻击者无利可图自己放弃, 原因解释一下:

给单用户模式设置密码, 或者阻止单用户模式:
属于预防只会百度的初级用户. 实际没啥用, 直接启动第二个系统或者拔盘破解;


使用 luks 加密:
属于常规操作, 能阻止一部分人, 但需要往下看: 如何阻止被窃取密码和无人交互启动.


initramfs 中 ssh 去解锁: 我不知道怎么吐槽 wiki 上面的这个建议, 遍地是漏洞:
1. 如果使用预先生成的 sshd 证书, 攻击者轻松中间人;
2. 如果每次启动生成 sshd 证书, 根本不好验证有没有被中间人.
当然, 可能我理解有误.


使用 secure boot 保护启动组件:
注意: 大部分 linux 的 secure boot 不验证 initramfs, 你要用这种方法请把 kernel + initramfs + kernel command line 一起打包成一个 efi 文件签名, 最好不要用 grub 等中间加一道.
如果你的机器能轻松重置固件设置, secure boot 属于废物, 毕竟他不像 surface 那样关闭 secure boot 会红屏警告. 攻击者可以重签安全启动证书, 重新配置主板证书链, 你还不好发现...
但有一说一, 到这一步了, 使用 secure boot 保护 kernel + initramfs 已经能挡住不少人了.


使用 tpm 解锁 luks:
不用交互自动启动. 不知道现在 linux 对此支持如何, 以前一团糟.
但是: 目前的 TPM 是挂在 LPC 总线上的, 硬件黑客低成本就能完成攻击窃取密码.
tpm 能阻挡相当大比例的攻击, 等未来微软推广开新的安全处理器规范后, 从 LPC 窃取密码也许不再可能, TPM 的一个大漏洞被堵上.

硬件层面实际上漏洞很多, 比如 cold boot attack 攻击, 直接 dump 内存; 主板固件安全不到位等等等等问题挺多的.
但你可以认为: 使用 secure boot + tpm 已经可以认为比较安全了, 毕竟要攻击这一套, 算是比较高级玩家玩的了, 除非你的数据足够值钱, 大佬才没空破解你的硬件呢.



说会本题:
如何在不安全的环境中托管 Linux 服务器:
之前我也有这个需求, 还在 v 站多次发帖问过, 比如: https://www.v2ex.com/t/803782
最终结论: 放弃, 我换成 Windows Server + Hyper-V 跑 Linux 了,只要不调用显卡或者其他硬件外设, 一切都还好.

有没有老铁遇到过 22h2 不能审核进程创建事件的问题: https://www.v2ex.com/t/881995#reply0

这不是就一普通的 NAT 网络吗...


vmware 没怎么用过, 但 hyper-v/vbox 都有这功能.
hyper-v 的 default network 就是一个 nat, 还带 dhcp 那种, 可以分配 172 开头的 B 类地址给虚拟机 nat 上网, 但 ip 并不固定.


如果不想用默认网卡, 直接用 Windows 自带的 NAT 就行, vmware 也应该能用, 创建一张虚拟网卡, 配置好静态 ip, 保证 host 和 guest 能互通后, new-netnat 创建一个 nat 就行(且只能创建一个). 缺点是 dns 需要用公共的 dns.

遇事不决, 把 bootmgr 分区格式化了重建引导再说 /doge/


bcdedit /enum all 看看?

@7RTDKSAK draw.io 随便起个 http 文件服务器就能实现离线运行啦, 比应用 electron 还方便

@Nasei 是什么版本的 Win 11 呢?

原因不知道, 也没法帮忙试试看, 但这些信息希望有帮助:

1. draw.io 个人认为客户端版本几乎没必要使用, 用 chrome 内核的浏览器几乎可以获得相同的体验, 或者将它安装为 pwa 也行.

2. 盲猜这个客户端其实就是 electron 套壳, electron 由于有原生 API 可以调用, 比 web 会多一点点功能, 但核心的绘图功能估计几乎没区别.

3. ffmpeg 提供多媒体, 尤其是音视频的分离与解码 /编码, 可能这个库在 electron 中不算核心部件, 所以能一堆报错但能运行.

4. drawio web 版如果有暂存的绘图, 打开后不会询问放在哪里. 本地版就不清楚了, 也许你可以试试打开控制台看看.
但你说 ffmpeg.dll 会影响此行为, 那估计 electron 运行时由于不合适的 ffmpeg.dll 出现问题了(常见的话, 比如版本不匹配等问题).


建议: 重新下载安装包看看有无 ffmpeg, 或者下载历史版本的看看. 或者直接用 web 版, 安装为 pwa.

--------------

题外话: 不要啥都往 system32 或者 syswow64 扔, 网上这些教程真的是坑人, 这种关键位置是能乱放 dll 的吗... 像 ffmpeg 这种还好, 最坑的是 vc dll 都有人让人在网上随便下载的, 首先这种 dll 不是缺一个, 而是缺一套..其次...

题外话: 讨厌 electron 应用的原因之一就是太笨重, 属于是我用我不用, 给别人用我就用. /doge/

arm 虚拟化 x86 怎么可能快得起来呢...
qemu 本来是用来模拟其它架构的 CPU 的, 结果现在和 kvm 虚拟化感觉绑的越来越多, qemu-kvm 相当快.

@ldwntjs 种类, Windows 精确触控板

@msg7086 bing 搜索 "三星 970 0e"

pypi 国内太慢...