这是一个创建于 2243 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 imn1 2019-11-05 00:31:14 +08:00 |
 | 2 likuku 2019-11-05 00:32:45 +08:00 或许你可以搜索研究下 审计系统 |
 | 3 ungrown 2019-11-05 00:35:16 +08:00 这类工具还是挺多的 我说几个我知道的 inotify (移植版,没用过,应该能用) pypi 上有个叫 watchdog 的库 火绒有监控文件夹的功能 |
 | 4 eq06 2019-11-05 00:43:24 +08:00 1 文件系统中的文件并没有记录哪个进程创建的字段,但是可以捕获 IO,来实时监控哪个进程在对哪个文件进行创建修改查询删除 2 托盘区闪的话,可以用工具来查看对应进程 https://www.raymond.cc/blog/find-out-what-program-are-running-at-windows-system-tray/ ; 也可以点击后让它弹窗,然后用 ProcessExplorer 定位窗口资源对应进程。 |
 | 5 crab 2019-11-05 01:23:41 +08:00 看广告的父进程 id 就可以追踪到了。 |
 | 7 FrankHB 2019-11-05 03:40:18 +08:00 @yunshui 搞成服务了? Process Explorer 或者 Process Hacker 之类的增强版任务管理器进程属性里找启动命令行,sc delete 一窝端了。 |
 | 8 nnnToTnnn 2019-11-05 09:01:18 +08:00 inline hook , hook window 创建文件的文件头? 好久没玩了,不知道 win10 上是否还支持 inline hook |
 | 9 harrison0124 2019-11-05 09:14:44 +08:00 表示自从装上火绒之后,各种弹窗都不见了,双十一彷佛和我没关系。 |
 | 10 karlakte 2019-11-05 09:33:13 +08:00 process monitor 捕获系统 IO 可以按文件路径筛选 |
 | 11 z888888cn 2019-11-05 10:58:04 +08:00 火绒的自定义防护,可以设置。 <img src="https://ae01.alicdn.com/kf/H00eb716a29094c28bcbe1287c2f2e9afZ.png" width="500"/> <img src="https://ae01.alicdn.com/kf/He651d0c3cf8d48c68adfb016d1a41b3aH.png" width="500"/> |
 | 15 FrankHB 2019-11-07 14:22:20 +08:00 @yunshui 大部分情况下正常的程序从命令行就能看出是怎么启动的了。如果非要套娃几次让你看不出是哪个特异来源,那明确就是恶意程序,不放心就全系统排查杀到每个进程都认识吧。。 |
 | 16 Mashirobest 2020-07-29 03:57:27 +08:00 我来挖个坟。目前也遇到了和楼主一样的问题,在 Roaming 里面找到了图标,父进程也是系统里面的服务,但是完全不知道如何下手。想问问楼主解决了问题没 |
 | 17 yunshui OP @Mashirobest 解决了。。。当时火绒的工作人员远程给我解决的 |
| 18 Mashirobest 2020-07-29 20:27:12 +08:00 via Android @yunshui 啊?那请问你还记得大概处理方法吗?我现在快被这个弹窗烦死了,广告拦截都没用 |
| 19 yunshui OP @Mashirobest 我就大概记得是远程给我关了启动项和计划任务里的项目(可能还关了其他项目),你看看有没有奇怪的项目 |
| 20 Mashirobest 2020-07-30 22:18:17 +08:00 via Android @yunshui 谢谢楼主,已经解决了。换了卡巴斯基,发现是捆绑了广告的木马,而且是在内存里。之前的防毒软件一直没发现,这次用卡巴彻底 kill 掉了 |
Select Language