首先,请原谅我——这不是一个问题,更多的是个人好奇,但希望它能激起我的同好们的好奇心!
作为一名极客,我喜欢了解我的电脑(在本例中是 Windows 10 Professional)上运行的进程。
我使用 sublime 的“Sysinternals Process Explorer”来监视事物。如果我查看单个或特定进程,并检查“字符串”选项卡,以查看内存中有哪些可打印字符,我经常会看到以下两个字符串,无论是 Microsoft 文件还是第三方文件,它们似乎无处不在!它们以两种形式多次出现在同一个图像中。例如,我在“MMGASERVER.EXE”进程的内存快照中至少发现了 50 次。(如果您能告诉我这个 MMGA 是什么或做什么,我也会加分!)
他们是:
华盛顿大学妇产科学院
和:
瓦塔瓦瓦
我到处都能看到这些字符串,但到目前为止,我还无法发现它们实际上代表什么!有人知道它们可能是什么吗?
我可能要开始尝试编写一些小型示例应用程序,这些应用程序是经过编译而不是解释的,看看我是否可以重新创建这个字符串并追踪它!不过在那之前,我想在这里问一下传奇人物——希望有人能阻止我发疯!
谢谢你!
答案1
我猜是 Sysmon64.exe。
我在 Linux 上运行以下命令发现了很多结果:
字符串 Sysmon64.exe | grep UAVAWH