今天,我的一台计算机的 Windows 防火墙中有一个防火墙规则,允许名为 kmss.exe 的程序传入流量,但我 100% 确定我没有添加它,也没有要求我允许该程序通过 Windows 防火墙连接到互联网。
因此,防火墙规则规定该程序必须位于 C:/Windows/Temp/Files/Bin/kmss.exe 中,但当我在文件资源管理器中打开 C:/Windows/Temp/ 时,没有名为“Files”的目录。我尝试使用命令提示符来查找它,但再次失败。我的设置已经允许在文件资源管理器中显示隐藏文件夹。
因此,我怀疑 C:/Windows/Temp/Files/Bin/kmss.exe 确实存在,但它以某种方式设法修改或欺骗 Windows,使其认为它不存在。这可能吗?如果是,我该怎么做才能访问该文件并将其删除?
答案1
是的,可以使用 root kit 隐藏 Windows 中的文件。您可以使用Rootkit揭露者尝试找出是否发生了这种情况。它会扫描您的系统并尝试查找内核 API 报告的内容与 Windows API 报告的内容之间的差异。该链接对 root kit 的工作原理进行了更好的解释。
答案2
该文件,执行程序,似乎是黑客工具,AutoKMS,用于绕过Windows 或 Microsoft Office 激活。可能是有人试图安装该黑客程序,而反恶意软件应用程序已将该文件移至隔离区或将其删除。