Mysterious đã gỡ cài đặt các quy trình sử dụng mạng mỗi khi tôi bật máy tính của mình

Tôi đang đi du lịch với máy tính xách tay Windows 10 / Ubuntu khởi động kép của mình và thường có quyền truy cập khá hạn chế vào WiFi. Khi tôi khởi động vào phía Windows của mọi thứ (hoặc thậm chí thức dậy sau khi ngủ, sau khi ngủ một lúc), tôi thường trải qua giai đoạn kém hơn so với hiệu suất mạng dự kiến.

Mở trình quản lý tác vụ, tôi thấy qua "Lịch sử ứng dụng" rằng một cái gì đó gọi là "Các quy trình được gỡ cài đặt" thường kết nối mạng trong vài phút sau khi thức dậy. Bằng "chốt" Tôi có nghĩa là việc sử dụng mạng của họ tăng theo từng bước với bất kỳ thứ gì khác mà tôi đã mở đang cố tải xuống liên tục. Thông thường nó sẽ im lặng sau vài phút, nhưng nó cực kỳ khó chịu trong khi nó đang hoạt động. Nó tệ hơn trong khi buộc vào điện thoại của tôi, kể từ đó tôi đang trả đô la thực sự cho hoạt động này.

Đây là một bức ảnh tiêu biểu của danh sách "Lịch sử ứng dụng" sau khi thức dậy và sử dụng "Xóa lịch sử sử dụng" để đưa tất cả các bộ đếm về 0:

Đây là một thời gian sau khi "các quy trình được gỡ cài đặt" ngừng sử dụng mạng, nhưng ban đầu sau khi thức dậy, nó được gắn cho mạng cao nhất sử dụng quy trình.

Đây là một hộp mới và tôi đã gỡ cài đặt có lẽ cả tá thứ trên đó, nhưng gần đây không có gì và đã có rất nhiều lần khởi động lại kể từ lần cài đặt lại lần trước.

Tôi khá tuyệt vọng cho bất kỳ lời khuyên nào về cách theo dõi quá trình lừa đảo này.

Như được đề cập trong phần trình bày pháp y được liên kết bởi harrymc trong các bình luận, mục nhập quá trình Gỡ cài đặt là tổng số liệu thống kê cho các quy trình mà các tệp thực thi trên đĩa không thể tìm thấy được nữa. Trình giám sát sử dụng tài nguyên hệ thống Windows, bằng chứng là slide 17 của bản trình bày đó, xác định các chương trình bằng tên Trình quản lý đối tượng đầy đủ của chúng (trong trường hợp ứng dụng trên máy tính để bàn), tên dịch vụ (trong trường hợp dịch vụ) hoặc ID ứng dụng Windows Store .

Trình quản lý tác vụ cố gắng hiển thị tiêu đề ứng dụng cho mọi mục nhập, nhưng thông tin đó không được lưu trữ trong cơ sở dữ liệu SRUM - nó chỉ có trong các thuộc tính của tệp thực thi. Lý thuyết là nếu Trình quản lý tác vụ không thể tìm thấy EXE của chương trình, nó sẽ gộp các số liệu thống kê vào các quy trình được Gỡ cài đặt . Chúng ta có thể xác minh lý thuyết đó bằng khoa học ! Tải xuống chương trình di động yêu thích của bạn sử dụng nhiều tài nguyên hệ thống (ví dụ: Procmon , sẽ mất một chút thời gian CPU nếu bạn để nó chạy không được lọc một chút). Lưu ý mục nhập của nó trong kế toán Trình quản lý tác vụ. Bây giờ hãy đóng và xóa / di chuyển chương trình thử nghiệm và mở lại Trình quản lý tác vụ. Các tài nguyên được sử dụng đã được thêm vào mục quá trình Gỡ cài đặt .

Lưu ý rằng Trình quản lý tác vụ có thể xem xét chương trình "gỡ cài đặt" nếu không thể thực hiện được vì không thể truy cập được. Trong trường hợp đó, chương trình chịu trách nhiệm cho hoạt động sẽ nằm trong thư mục hệ thống không thể truy cập được ngay cả với quản trị viên (theo mặc định). Bạn có thể nhận thêm thông tin về nó với Process Explorer .

Do đó, việc sử dụng mạng đang được thực hiện bởi một chương trình không thể tìm thấy tại thời điểm bạn chạy Trình quản lý tác vụ. Điều này gần như chắc chắn gây ra bởi một ứng dụng máy tính để bàn loại bỏ hoặc trích xuất một EXE khác (ví dụ: chương trình kiểm tra cập nhật), chạy EXE đó và sau đó xóa nó sau khi thoát. Để tìm hiểu những gì đang làm, bạn có thể thử phân tích trực tiếp cơ sở dữ liệu SRUM (như được mô tả trong bản trình bày), sử dụng khả năng ghi nhật ký khởi động của Procmon hoặc thử vô hiệu hóa một số ứng dụng tự động khởi động của bạn bằng Autorun .

Các quy trình này là một trong những bí ẩn lớn của Windows và không được ghi lại tất cả. Điều này mở ra cánh cửa cho đầu cơ. Đối với tôi, những vần điệu không có giấy tờ với các phần của Windows 10 mà Microsoft không thích nói đến.

Một định nghĩa về các quy trình này có thể được tìm thấy trong bản trình bày pháp y SRUM pháp y này giải thích một cách vô ích chúng là:

'Quá trình gỡ cài đặt' là tất cả các chương trình không còn trên đĩa (ở vị trí ban đầu của chúng)

Vì một chương trình không còn trên đĩa cũng không còn khả năng có hoạt động mạng, nên lý do là hoạt động mạng này là về chứ không phải bởi các quy trình được gỡ cài đặt này và thực thể duy nhất có thể thực hiện đó là Windows hoặc một trong những thực thể đó các thành phần, trưởng trong số đó là từ xa, được biết đến là tài liệu xấu và xâm phạm quyền riêng tư.

Bài viết bí mật từ xa Windows 10 định nghĩa từ xa:

Microsoft định nghĩa từ xa là "dữ liệu hệ thống được tải lên bởi thành phần Từ xa và Trải nghiệm người dùng được kết nối", còn được gọi là Máy khách từ xa toàn cầu hoặc dịch vụ UTC. (Thêm về điều đó trong thời gian ngắn.)

Microsoft sử dụng dữ liệu từ xa từ Windows 10 để xác định các vấn đề về bảo mật và độ tin cậy, để phân tích và khắc phục các sự cố phần mềm, để giúp cải thiện chất lượng của Windows và các dịch vụ liên quan và đưa ra quyết định thiết kế cho các bản phát hành trong tương lai.

Lý thuyết của tôi là đây là Windows đang cố gắng liên lạc với các máy chủ từ xa bí mật của mình để nhận dạng các quy trình được gỡ cài đặt. Hoặc có thể Windows Defender (hiện là một phần không thể phá vỡ của Windows) đang cố gắng truyền đạt thông tin về các quy trình này.

Hãy thử tắt mọi thứ trong Cài đặt -> Cập nhật & Bảo mật -> Windows Defender và khởi động lại hai lần để xem điều này có biến mất không. Tuy nhiên, Windows 10 được biết đến với khả năng đo từ xa không thể dừng hoàn toàn.

Nếu điều này không có ích, hãy thử sử dụng một sản phẩm như TCPView để tìm địa chỉ IP của máy chủ mà giao tiếp này được thực hiện. Tôi giả sử ở đây rằng hoạt động mạng là hướng tới Internet, có thể kiểm tra dễ dàng bằng cách khởi động mà không cần kết nối Internet. Trình quản lý tác vụ có thể che dấu danh tính của quá trình đó dưới tên "Các quy trình được gỡ cài đặt", nhưng có thể Process Explorer sẽ nói sự thật.

Khi bạn biết địa chỉ IP của máy chủ, bạn có thể sử dụng dịch vụ whois, chẳng hạn như Tra cứu IP WHOIS để xác định chủ sở hữu của trang web.