mstsc.exe 在后台运行是啥情况

用火绒剑分析了系统行为，发现 mstsc 进程是被 wsl 创建的，如下日志中父进程 id 就是 wsl
parent_pid:11784
cmdline:'mstsc.exe /v:9522CC30-811A-4C2C-B024-0C923DDD9E9B /hvsocketserviceid:3CD72DA7-FACB-11E6-BD58-64006A7986D3 /silent /wslg /plugin:WSLDVC /wslgsharedmemorypath:WSL\9522CC30-811A-4C2C-B024-0C923DDD9E9B\wslg C:\ProgramData\Microsoft\WSL\wslg.rdp'
image_base:0x00007FF6204A0000
image_size:0x001AC000

最后定位到是与 wslg 有关了
https://github.com/microsoft/wslg#wslgd

解决办法是通过 wsl 配置文件关闭 wslg
https://github.com/microsoft/wslg#wslg-system-distro

窗口检点检测工具 ==> 窗口焦点检测工具

mstsc 这是个客户端，你看看 C:\ProgramData\Microsoft\WSL\wslg.rdp 配置文件里连到哪里了

我的 win10 左下角老有类似于弹窗一样，一闪一闪的，但是当前窗口不会失去焦点。都半年多了 一直找不到问题所在

@newmlp #4 确实，mstsc 只是一个客户端，看了下 wslg.rdp 文件内容，是一个指向远程 app 的 rdp file
audiocapturemode:i:2
authentication level:i:0
disableconnectionsharing:i:1
enablecredsspsupport:i:0
hvsocketenabled:i:1
remoteapplicationmode:i:1
remoteapplicationprogram:s:dummy-entry

@dorothyREN #5 可以用火绒剑监控系统行为，看看发生闪动的时候有哪些刻意进程行为，我也是用这个办法定位到 wsl 的，真的很厉害这个工具

@kinboy #7 刻意进程行为==> 可疑进程行为

@kinboy #7 不瞒你说，我不会用。。。。

@dorothyREN #9 安装火绒安全软件，在安全工具--> 高级工具中第一个就是火绒剑，打开火绒剑后第一个选项是”系统“，点击 “开启监控”，等待出现异常，此时异常行为已经被火绒剑录制，结束监控，查找可疑进程

剩下的就上网搜一下

@kinboy #10 objk ，晚上我试一下

我之前也有这样情况，重启后就好了，应该是啥 bug 了

@zlhsvc #12 嗯，我这边是最近更新了 WSL ，因为想用最新的 systemd ，然后 PC 也很久没有关机过了，可能是导致了 WSL 的什么 bug ，然后不停启动 mstsc 了，重启应该可以暂时解决，不过我不需要用 wslg ，所以就直接关掉好了

我之前开了 docker desktop 有时候会这样，单独用 wsl2 不会

@clorischan #14 我之前用 docker desktop 没出现过这种情况，现在用 docker without desktop 反而这样了，应该与 docker 无关

好奇怪，我在远程主机的时候，本地和对方都没有 mstsc 这个进程呢

@melsp #16 weird