我正在运行 Windows 8 Enterprise。有几次我注意到多个winlogon.exe进程正在运行(伴随着许多额外的csrss.exe和dwm.exe)。今天我看到了一个额外的进程,但我第一次注意到它时,有五六个额外的进程。
Process Explorer 显示它们确实都是C:\Windows\System32\winlogon.exe,但是多余的进程已经使用标志启动-SpecialSession,并且它们的父进程不再存在。
使用 Malwarebytes 和 Spybot S&D 进行的恶意软件扫描没有显示任何内容,而 Windows Defender 仍保持沉默。
这是什么-SpecialSession选项?这些额外的实例可能来自哪里?Google 似乎对此一无所知。
答案1
自从我升级到 Windows 8 后,我也看到了这种行为。我对 Windows 7 进行了就地升级,仅供参考。我没有足够的要点来评论,所以我把这个写成答案。
有一个明显的规律,即每组孤立的 winlogon.exe 及其子进程很可能是 Windows 8 的新“快速启动/混合睡眠”功能的产物。默认情况下,Windows 8 不会完全关闭。当您从超级按钮栏中选择“关机”时,实际上会发生的情况是您注销,但 Windows 不会关闭,而是进入休眠状态。这样,当您重新打开它时,它会在您的登录提示符下从休眠状态恢复,而不是完全启动。
目前我最早的一组进程已经存在 12 天了,但我每天都会关闭电脑。我有大约 12 个这样的进程组。
我还没有发现任何不良副作用,但我会尝试禁用“快速启动”。无论如何,我并不相信它会更快。
控制面板\所有控制面板项\电源选项\系统设置
答案2
好的,我问过微软这似乎是某种特殊的秘密。他们只确认这与 HybridBoot/fastStartup 有关,但没有详细说明为什么会这样。
答案3
我在 Win 8 Pro 机器上也看到了同样的情况。虽然我完全关闭了机器,但当我重新打开机器时,我看到了多组:
WinLogon.exe -SpecialSession
LogonUI.exe /flags:0x0
dwm.exe -hiberboot
这些参数使dwm我相信我正在查看一个特殊的休眠相关功能,而不是登录攻击。