启动时在 C:\Windows\System32\ 文件夹中生成神秘的 .tmp 文件

Question 1

那么程序如何能在我不知情的情况下在重启时重新生成文件呢？

哦，有负载程序可以在启动时运行的方法有很多，同样，程序也有很多方法可以躲避您的注意。

你可以尝试运行劫持找到更多启动钩子，而不仅仅是 Software-MS-Win-CurVer-Run 键，以及 rootkit 查找器，例如黑光看看是否还有你看不到的隐藏文件。但是持久的自我重建程序通常很难从操作系统内部删除。

Michael 是对的：唯一安全的做法是清除病毒（重新格式化并重新安装操作系统）。不要依赖防病毒软件来保持安全，因为当今的防病毒工具对于不断增长和变异的 Web 漏洞威胁几乎完全无用。

Answer

那么程序如何能在我不知情的情况下在重启时重新生成文件呢？

哦，有负载程序可以在启动时运行的方法有很多，同样，程序也有很多方法可以躲避您的注意。

你可以尝试运行劫持找到更多启动钩子，而不仅仅是 Software-MS-Win-CurVer-Run 键，以及 rootkit 查找器，例如黑光看看是否还有你看不到的隐藏文件。但是持久的自我重建程序通常很难从操作系统内部删除。

Michael 是对的：唯一安全的做法是清除病毒（重新格式化并重新安装操作系统）。不要依赖防病毒软件来保持安全，因为当今的防病毒工具对于不断增长和变异的 Web 漏洞威胁几乎完全无用。

Question 2

它位于一台开发机器上，这让我认为那些是来自开发环境的临时文件（= .tmp）。

也许您安装了新的应用程序或更改了某些应用程序中的配置。

Answer

它位于一台开发机器上，这让我认为那些是来自开发环境的临时文件（= .tmp）。

也许您安装了新的应用程序或更改了某些应用程序中的配置。

Question 3

查看 Sysinternals 的 Process Monitor。它可以记录系统中的进程、注册表、文件系统和网络活动。它还可以进行启动日志记录，因此您应该能够从一开始就跟踪这些临时文件的创建过程。

Answer

查看 Sysinternals 的 Process Monitor。它可以记录系统中的进程、注册表、文件系统和网络活动。它还可以进行启动日志记录，因此您应该能够从一开始就跟踪这些临时文件的创建过程。

相关内容