我的系统上有一个恶意进程,它会产生大量占用大量 CPU 的 WMIC.exe 进程。这些进程的寿命非常短,以至于我似乎无法在它们完成之前与它们进行交互,但我相信它们会造成很多系统不稳定。
按 CPU 使用率排序的资源监视器如下所示:
当然,拍摄该照片后,活跃的 WMIC 进程就立即停止了(甚至在 WMIC 进程处于活跃状态时也尝试了几次才拍摄到照片)。
我尝试使用 Get-WmiObject 来捕获它(有点讽刺):
Get-WmiObject Win32_Process -Filter "name LIKE '%wmic%'" | Select-Object Name,CommandLine,ParentProcess
我运行了该命令几百次,但除了刚刚运行的命令之外,从未捕获到任何 WMIC 进程。
是否有一些日志或其他东西可以让我查看已完成进程的信息?或者有什么方法可以了解是什么启动了这些 WMIC.exe 进程,或者它们在做什么?
答案1
我使用“进程监视器”解决了这个问题,正如 HelpingHand 在评论中建议的那样。进程监视器记录进程启动,因此我筛选出名为“WMIC”的进程和“进程启动”的操作。
这样就可以识别 WMIC.exe 进程的 ParentProcess,我深入研究了它的用法:
Get-WmiObject Win32_Process -Filter "name LIKE '%wmic%'" | Select-Object Name,CommandLine,ParentProcess
感谢 HelpingHand!