win10 下能查看一个文件是由什么软件创建的吗?或者有什么软件可以监控创建的行为?

2019-11-05 00:18:15 +08:00
 yunshui
由来:https://www.v2ex.com/t/614171

因为最近被托盘闪烁的双 11 广告烦到了,好多办法都没有找到源头。
今天突然在 Roaming 文件夹发现了那个托盘广告的图标。
6784 次点击
所在节点    程序员
20 条回复
imn1
2019-11-05 00:31:14 +08:00
process monitor

https://docs.microsoft.com/en-us/sysinternals/
这里有很多很实用的“小”工具
likuku
2019-11-05 00:32:45 +08:00
或许你可以搜索研究下 审计系统
ungrown
2019-11-05 00:35:16 +08:00
这类工具还是挺多的
我说几个我知道的
inotify (移植版,没用过,应该能用)
pypi 上有个叫 watchdog 的库
火绒有监控文件夹的功能
eq06
2019-11-05 00:43:24 +08:00
1 文件系统中的文件并没有记录哪个进程创建的字段,但是可以捕获 IO,来实时监控哪个进程在对哪个文件进行创建修改查询删除
2 托盘区闪的话,可以用工具来查看对应进程 https://www.raymond.cc/blog/find-out-what-program-are-running-at-windows-system-tray/ ; 也可以点击后让它弹窗,然后用 ProcessExplorer 定位窗口资源对应进程。
crab
2019-11-05 01:23:41 +08:00
看广告的父进程 id 就可以追踪到了。
yunshui
2019-11-05 01:34:00 +08:00
@crab 父进程是 svchost.exe
FrankHB
2019-11-05 03:40:18 +08:00
@yunshui 搞成服务了? Process Explorer 或者 Process Hacker 之类的增强版任务管理器进程属性里找启动命令行,sc delete 一窝端了。
nnnToTnnn
2019-11-05 09:01:18 +08:00
inline hook , hook window 创建文件的文件头? 好久没玩了,不知道 win10 上是否还支持 inline hook
harrison0124
2019-11-05 09:14:44 +08:00
表示自从装上火绒之后,各种弹窗都不见了,双十一彷佛和我没关系。
karlakte
2019-11-05 09:33:13 +08:00
process monitor 捕获系统 IO 可以按文件路径筛选
z888888cn
2019-11-05 10:58:04 +08:00
火绒的自定义防护,可以设置。

<img src="https://ae01.alicdn.com/kf/H00eb716a29094c28bcbe1287c2f2e9afZ.png" width="500"/>

<img src="https://ae01.alicdn.com/kf/He651d0c3cf8d48c68adfb016d1a41b3aH.png" width="500"/>
yunshui
2019-11-05 17:48:09 +08:00
@FrankHB 这个是只能它启动的时候才行吧??
yunshui
2019-11-05 17:49:46 +08:00
@z888888cn 主要也不知道是哪个程序,目前能查到的就是 windows 下一个组件。。。
z888888cn
2019-11-06 09:53:36 +08:00
@yunshui 那么纠结干嘛,哪个软件弹出的广告,就去搜索无广告的安装上呗。
FrankHB
2019-11-07 14:22:20 +08:00
@yunshui 大部分情况下正常的程序从命令行就能看出是怎么启动的了。如果非要套娃几次让你看不出是哪个特异来源,那明确就是恶意程序,不放心就全系统排查杀到每个进程都认识吧。。
Mashirobest
2020-07-29 03:57:27 +08:00
我来挖个坟。目前也遇到了和楼主一样的问题,在 Roaming 里面找到了图标,父进程也是系统里面的服务,但是完全不知道如何下手。想问问楼主解决了问题没
yunshui
2020-07-29 17:33:44 +08:00
@Mashirobest
解决了。。。当时火绒的工作人员远程给我解决的
Mashirobest
2020-07-29 20:27:12 +08:00
@yunshui 啊?那请问你还记得大概处理方法吗?我现在快被这个弹窗烦死了,广告拦截都没用
yunshui
2020-07-30 15:58:43 +08:00
@Mashirobest 我就大概记得是远程给我关了启动项和计划任务里的项目(可能还关了其他项目),你看看有没有奇怪的项目
Mashirobest
2020-07-30 22:18:17 +08:00
@yunshui 谢谢楼主,已经解决了。换了卡巴斯基,发现是捆绑了广告的木马,而且是在内存里。之前的防毒软件一直没发现,这次用卡巴彻底 kill 掉了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/616274

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX