几个月前,我注意到了 中两个奇怪的隐藏文件C:\Windows。它们的名称看似随机,没有文件扩展名,二进制内容看似随机。当时我没怎么在意。
几天前,我再次进入 Windows 文件夹。令我惊讶的是,出现了更多此类文件!
输出dir /AH:
08/04/2004 02:56 AM 28 1cdef1b1d5f5e1k
08/04/2004 02:56 AM 28 1cdef8prlgmmdpq
08/04/2004 02:56 AM 28 1cdefmcdj7ddt1k
08/04/2004 02:56 AM 28 2buvf2dlt8cfv8r
08/04/2004 02:56 AM 18 2buvf8t1thlvm8r
08/04/2004 02:56 AM 28 2buvf8x2cwvvm8r
08/04/2004 02:56 AM 28 2buvfsq1nbrpg8r
08/04/2004 02:56 AM 28 2buvfsudb8cfv8r
08/04/2004 02:56 AM 28 5xyafsy1wki8hbc
08/04/2004 02:56 AM 28 nnwkffpbl4umq4
请注意,它们的创建日期都相同(8 月 4 日)。28 字节文件都以字节序列开头0x64 0x00 0x01 0x00 0x00 0x00(可能是标头),这意味着这不仅仅是随机的、有缺陷的垃圾数据。(我不会发布任何文件的完整内容,以防它以某种方式包含编码的敏感数据。)
文件的最后修改日期都比较近:如果我没记错的话,是 2021 年 12 月 18 日。不幸的是,我的调查修改了最后修改日期,所以我无法确认这一点。
我一直觉得这些文件是恶意的,但我的笔记本电脑没有显示任何感染迹象。在过去的两天里,我一直在使用 Process Monitor 扫描这些文件的任何访问权限。我没有发现任何异常。我使用 Windows Defender 进行了全面扫描(包括离线扫描);没有检测到任何恶意软件。sfc /scannow这也让我的系统完全健康。
有人知道这些文件是什么吗?我的担心是对的吗?还是我有点疑病症?