在过去的一个月(可能更长时间)里,我注意到我的笔记本电脑(运行 Windows 10)经常变得慢得几乎无法使用,尤其是在很多天没有开机之后。
我注意到任务管理器中的磁盘使用率长时间处于 100%,但这太荒谬了,因为即使在宽松的情况下,所有进程的总和也只能接近 5-10% 左右。
这是一台开发机器,配备 8GB RAM、i7 处理器和充足的空间。除了 MS 默认程序外,几乎没有其他启动程序(即使这样,我也从启动列表中剔除了大多数非必需程序)。我还逐步禁用了 BITS、Superfetch 等服务,但没有明显效果。
更令人怀疑的是它发生的模式——在计算机物理断开连接并关闭多天后,问题在启动时最严重。启动时间约为 3-5 分钟(!),之后磁盘使用率在几分钟内达到 100%,然后不知何故突然下降到 1-5% 左右。所有这些都没有显示任何接近满磁盘使用率的进程。
经过大约一个月的调查,我开始怀疑恶意软件的介入,特别是因为任务管理器中的差异,也因为问题突然自行纠正。我还应该注意到,计算机运行的是 AVG 免费版,并且对计算机和反 rootkit 的扫描都没有问题。话虽如此,我想探究一下这可能是恶意软件连接和自我更新,或者更糟的是,窃取数据 [或者更糟的是,占用我的磁盘来加密我的文件,同时告诉我一切正常]?
目前,我没有观察到支持泄漏理论的不规则数量的网络流量,但也可以使用恶意驱动程序将其隐藏在任务管理器/ wireshark 中。
我有几个问题:
- 这种行为模式是否符合任何已知的恶意软件/APT 威胁?
- 假设我继续进行取证方向的研究,可以采取哪些进一步的步骤来调查和验证机器上的驱动程序?
- 除了任务管理器之外,我还可以采取哪些步骤来监视和识别实际导致 100% 磁盘使用率的进程?
- 是否有任何合法的/Windows 原因可能导致这种情况发生,如果是,我该如何缩小和隔离有问题的组件?
答案1
不要依赖任务管理器,因为它只会显示 Windows 中正在运行的内容。你需要查看资源和性能监视器(perfmon.exe)这将让您更好地了解究竟哪些内容正在使用资源。例如,Hyper-v 不会显示在任务管理器中,但会显示在资源监视器中。
当您看到 100% 使用率时,请按写入排序。如果您没有看到任何大量数据,请检查读取。
您的硬盘有多旧?其型号是什么?