微软在2024年3月推出了 UCPD 驱动程序。这个程序全名为“用户选择保护驱动程序”，原本用于防止软件随意更改默认浏览器或文件的打开方式。比如，有人将默认浏览器设置为Chrome，有人习惯用WPS打开文档。

表面来看，这似乎是一个保护用户设置的小“保安”。然而技术追踪显示这个组件远比想象复杂得多。

据安全专家分析，这个小“保安”是一串加密数据，深藏在Windows系统注册表里。一旦检测到用户设置的默认应用有被修改的操作，微软就可以通过云端配置系统向它发送指令，实际是写入数据，然后调用解密逻辑，再把这些数据转换成可直接运行的可执行程序。

它手上有两份名单，一个白名单，一个黑名单。白名单里的放行，黑名单里的就会被阻止、拦截。微软自己的Edge浏览器、Office办公软件，自然都在白名单里。

而当这个“保安”被触发激活时，它还会记录用户（尤其是中国地区用户）的很多操作，比如运行了什么软件、该软件的证书信息、修改了系统哪些设置、在白名单还是黑名单中、以及是否成功还是被拦截等。所有这些细节都被打包成一个模糊名称的日志。一旦用户开启了“发送可选诊断数据”，这些涉及个人隐私和商业机密的信息就会通过加密通道，无声无息地流向微软的服务器。

可怕的是，上述操作的整个过程完全在后台静默进行，用户对此一无所知。

非用户主动安装，能直接运行，功能未知，甚至可能接收远程指令。这显然超出了“保护默认设置”的范畴，其运行逻辑几乎和典型的木马程序如出一辙：利用注册表深层路径隐藏关键数据；满足系统事件后才会释放可执行文件；动态生成，新程序功能不明，却能直接运行；对特定地区用户采集数据并传输……

UCPD 驱动程序和木马的唯一差别在于，木马是陌生的可疑程序，而 UCPD却带着微软官方签名。它拥有最高权限、最深信任度，让安全软件也难以察觉。当一个后门披上了“官方组件”的外衣，它的隐蔽性与危险性更甚于木马。

技术专家还发现，UCPD并不是对所有用户一视同仁，尤其对中国区别对待。

它会从系统注册表中读取地理位置代码，只有当代码为中国大陆（45）、中国香港（104）、中国澳门（151）或中国台湾（237）时，才会全面激活所有监控功能，并强制开启数据上报机制。

对于欧美等其他地区用户，这些侵犯性的功能则完全不会触发。只有中国的用户运行了哪些软件，都会被保安详细记录成“小报告”（日志），然后加密寄回微软总部。

技术分析发现，UCPD还内置了针对中国软件厂商的拦截机制，通过数字签名、进程名、路径匹配等三重黑名单进行过滤。只要任何一项对上，保安就会立刻阻止该软件修改系统默认设置。据查，在黑名单中的中国软件厂商包括360、搜狗、金山、腾讯等。