我带着双启动的 Windows 10/Ubuntu 笔记本电脑旅行,经常无法访问 WiFi。当我启动 Windows 端时(甚至在睡眠一段时间后从睡眠中唤醒时),我经常会遇到一段时间的网络性能比预期的差。
打开任务管理器,我通过“应用程序历史记录”看到,一些名为“卸载的进程”的东西通常会在唤醒后几分钟内占用网络。我说的“占用”是指它们的网络使用量与我打开的任何其他试图连续下载的东西同步增加。通常几分钟后它就会安静下来,但当它处于活动状态时非常烦人。当我连接到手机时,情况会更糟,因为那时我要为这种活动支付真金白银。
这是唤醒并使用“删除使用历史记录”将所有计数器归零后“应用程序历史记录”列表的典型截图:
这是在“卸载的进程”停止使用网络后的某个时间,但在唤醒后最初,它与使用网络最多的进程并列。
这是一个新盒子,我可能已经卸载了上面的十几个东西,但是最近没有卸载,而且自上次重新安装以来已经重启了很多次。
我非常迫切需要任何关于如何追踪这个恶意进程的提示。
答案1
正如在法医演示harrymc 在评论中链接,卸载的进程条目是磁盘上可执行文件已无法找到的进程的统计信息总和。Windows 系统资源使用情况监视器(如该演示文稿的第 17 张幻灯片所示)通过程序的完整对象管理器名称(对于桌面应用程序而言)、服务名称(对于服务而言)或 Windows 应用商店应用程序 ID。
任务管理器会尝试显示每个条目的应用程序标题,但该信息不会存储在 SRUM 数据库中 - 它只存储在可执行文件的属性中。理论上,如果任务管理器找不到程序的 EXE,它会将统计数据归入卸载的进程. 我们可以使用以下方法验证该理论科学! 下载您最喜欢的、占用大量系统资源的便携式程序(例如普罗克蒙,如果您让它在未经过滤的情况下运行一段时间,这会占用一些 CPU 时间)。注意任务管理器会计中的条目。现在关闭并删除/移动测试程序,然后重新打开任务管理器。使用的资源已添加到卸载的进程入口。
请注意任务管理器可能如果某个程序的可执行文件因任何原因(而不仅仅是缺失)无法访问,则认为该程序已“卸载”。在这种情况下,负责该活动的程序将驻留在系统目录中,甚至管理员也无法访问(默认情况下)。您可以使用进程探索器。
因此,网络使用是由运行任务管理器时无法找到的程序完成的。这几乎肯定是由桌面应用程序转储或提取另一个 EXE(例如更新检查程序)引起的,运行该 EXE,然后在退出后将其删除。要弄清楚是什么在做这件事,您可以尝试直接解析 SRUM 数据库(如演示文稿中所述),使用 Procmon 的启动日志功能或者尝试使用以下方法禁用某些自动启动应用程序自动运行。
答案2
这些过程是 Windows 的一大秘密,而且并未全部记录在案。这为猜测打开了大门。对我来说,未记录的内容与 Microsoft 不喜欢谈论的 Windows 10 部分内容押韵。
在本法医演示中可以找到这些过程的一个定义 SRUM 取证这毫无帮助地解释为:
“卸载的进程”是指所有不再存在于磁盘上的程序(位于其原始位置)
由于不再位于磁盘上的程序也不再具有网络活动能力,因此,这种网络活动是关于而不是经过这些未安装的进程,唯一容易发生这种情况的实体是 Windows 或其组件之一,其中最主要的是遥测,以记录不善和侵犯隐私而闻名。
文章Windows 10 遥测秘密定义遥测:
微软将遥测定义为“由联网用户体验和遥测组件上传的系统数据”,也称为通用遥测客户端或 UTC 服务。(稍后会详细介绍。)
微软使用来自 Windows 10 的遥测数据来识别安全性和可靠性问题,分析和修复软件问题,帮助提高 Windows 和相关服务的质量,并为未来版本做出设计决策。
我的理论是,这是 Windows 试图向其秘密遥测服务器传达未安装进程的身份。或者可能是 Windows Defender(现在是 Windows 不可破解的一部分)试图传达有关这些进程的信息。
尝试禁用下面的所有内容设置 -> 更新和安全 -> Windows Defender,然后重新启动两次,看看是否消失。但是,Windows 10 以无法完全停止遥测而闻名。
如果这没有帮助,请尝试使用以下产品TCP查看器 找到进行此通信的服务器的 IP 地址。我在这里假设网络活动是面向互联网的,可以通过在没有互联网连接的情况下启动来轻松测试。任务管理器可能会以“卸载的进程”的名称掩盖该进程的身份,但也许进程探索器会说实话。
一旦知道了服务器的 IP 地址,就可以使用 whois 服务,例如IP WHOIS 查询识别网站的所有者。