1
imn1 2019-11-05 00:31:14 +08:00
|
2
likuku 2019-11-05 00:32:45 +08:00
或许你可以搜索研究下 审计系统
|
3
ungrown 2019-11-05 00:35:16 +08:00
这类工具还是挺多的
我说几个我知道的 inotify (移植版,没用过,应该能用) pypi 上有个叫 watchdog 的库 火绒有监控文件夹的功能 |
4
eq06 2019-11-05 00:43:24 +08:00
1 文件系统中的文件并没有记录哪个进程创建的字段,但是可以捕获 IO,来实时监控哪个进程在对哪个文件进行创建修改查询删除
2 托盘区闪的话,可以用工具来查看对应进程 https://www.raymond.cc/blog/find-out-what-program-are-running-at-windows-system-tray/ ; 也可以点击后让它弹窗,然后用 ProcessExplorer 定位窗口资源对应进程。 |
5
crab 2019-11-05 01:23:41 +08:00
看广告的父进程 id 就可以追踪到了。
|
7
FrankHB 2019-11-05 03:40:18 +08:00
@yunshui 搞成服务了? Process Explorer 或者 Process Hacker 之类的增强版任务管理器进程属性里找启动命令行,sc delete 一窝端了。
|
8
nnnToTnnn 2019-11-05 09:01:18 +08:00
inline hook , hook window 创建文件的文件头? 好久没玩了,不知道 win10 上是否还支持 inline hook
|
9
harrison0124 2019-11-05 09:14:44 +08:00
表示自从装上火绒之后,各种弹窗都不见了,双十一彷佛和我没关系。
|
10
karlakte 2019-11-05 09:33:13 +08:00
process monitor 捕获系统 IO 可以按文件路径筛选
|
11
z888888cn 2019-11-05 10:58:04 +08:00
火绒的自定义防护,可以设置。
<img src="https://ae01.alicdn.com/kf/H00eb716a29094c28bcbe1287c2f2e9afZ.png" width="500"/> <img src="https://ae01.alicdn.com/kf/He651d0c3cf8d48c68adfb016d1a41b3aH.png" width="500"/> |
15
FrankHB 2019-11-07 14:22:20 +08:00
@yunshui 大部分情况下正常的程序从命令行就能看出是怎么启动的了。如果非要套娃几次让你看不出是哪个特异来源,那明确就是恶意程序,不放心就全系统排查杀到每个进程都认识吧。。
|
16
Mashirobest 2020-07-29 03:57:27 +08:00
我来挖个坟。目前也遇到了和楼主一样的问题,在 Roaming 里面找到了图标,父进程也是系统里面的服务,但是完全不知道如何下手。想问问楼主解决了问题没
|
17
yunshui OP @Mashirobest
解决了。。。当时火绒的工作人员远程给我解决的 |
18
Mashirobest 2020-07-29 20:27:12 +08:00 via Android
@yunshui 啊?那请问你还记得大概处理方法吗?我现在快被这个弹窗烦死了,广告拦截都没用
|
19
yunshui OP @Mashirobest 我就大概记得是远程给我关了启动项和计划任务里的项目(可能还关了其他项目),你看看有没有奇怪的项目
|
20
Mashirobest 2020-07-30 22:18:17 +08:00 via Android
@yunshui 谢谢楼主,已经解决了。换了卡巴斯基,发现是捆绑了广告的木马,而且是在内存里。之前的防毒软件一直没发现,这次用卡巴彻底 kill 掉了
|