V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yunshui
V2EX  ›  程序员

win10 下能查看一个文件是由什么软件创建的吗?或者有什么软件可以监控创建的行为?

  •  
  •   yunshui · 2019-11-05 00:18:15 +08:00 · 7136 次点击
    这是一个创建于 1847 天前的主题,其中的信息可能已经有所发展或是发生改变。
    由来:https://www.v2ex.com/t/614171

    因为最近被托盘闪烁的双 11 广告烦到了,好多办法都没有找到源头。
    今天突然在 Roaming 文件夹发现了那个托盘广告的图标。
    20 条回复    2020-07-30 22:18:17 +08:00
    imn1
        1
    imn1  
       2019-11-05 00:31:14 +08:00
    process monitor

    https://docs.microsoft.com/en-us/sysinternals/
    这里有很多很实用的“小”工具
    likuku
        2
    likuku  
       2019-11-05 00:32:45 +08:00
    或许你可以搜索研究下 审计系统
    ungrown
        3
    ungrown  
       2019-11-05 00:35:16 +08:00
    这类工具还是挺多的
    我说几个我知道的
    inotify (移植版,没用过,应该能用)
    pypi 上有个叫 watchdog 的库
    火绒有监控文件夹的功能
    eq06
        4
    eq06  
       2019-11-05 00:43:24 +08:00
    1 文件系统中的文件并没有记录哪个进程创建的字段,但是可以捕获 IO,来实时监控哪个进程在对哪个文件进行创建修改查询删除
    2 托盘区闪的话,可以用工具来查看对应进程 https://www.raymond.cc/blog/find-out-what-program-are-running-at-windows-system-tray/ ; 也可以点击后让它弹窗,然后用 ProcessExplorer 定位窗口资源对应进程。
    crab
        5
    crab  
       2019-11-05 01:23:41 +08:00
    看广告的父进程 id 就可以追踪到了。
    yunshui
        6
    yunshui  
    OP
       2019-11-05 01:34:00 +08:00
    @crab 父进程是 svchost.exe
    FrankHB
        7
    FrankHB  
       2019-11-05 03:40:18 +08:00
    @yunshui 搞成服务了? Process Explorer 或者 Process Hacker 之类的增强版任务管理器进程属性里找启动命令行,sc delete 一窝端了。
    nnnToTnnn
        8
    nnnToTnnn  
       2019-11-05 09:01:18 +08:00
    inline hook , hook window 创建文件的文件头? 好久没玩了,不知道 win10 上是否还支持 inline hook
    harrison0124
        9
    harrison0124  
       2019-11-05 09:14:44 +08:00
    表示自从装上火绒之后,各种弹窗都不见了,双十一彷佛和我没关系。
    karlakte
        10
    karlakte  
       2019-11-05 09:33:13 +08:00
    process monitor 捕获系统 IO 可以按文件路径筛选
    z888888cn
        11
    z888888cn  
       2019-11-05 10:58:04 +08:00
    火绒的自定义防护,可以设置。

    <img src="https://ae01.alicdn.com/kf/H00eb716a29094c28bcbe1287c2f2e9afZ.png" width="500"/>

    <img src="https://ae01.alicdn.com/kf/He651d0c3cf8d48c68adfb016d1a41b3aH.png" width="500"/>
    yunshui
        12
    yunshui  
    OP
       2019-11-05 17:48:09 +08:00
    @FrankHB 这个是只能它启动的时候才行吧??
    yunshui
        13
    yunshui  
    OP
       2019-11-05 17:49:46 +08:00
    @z888888cn 主要也不知道是哪个程序,目前能查到的就是 windows 下一个组件。。。
    z888888cn
        14
    z888888cn  
       2019-11-06 09:53:36 +08:00
    @yunshui 那么纠结干嘛,哪个软件弹出的广告,就去搜索无广告的安装上呗。
    FrankHB
        15
    FrankHB  
       2019-11-07 14:22:20 +08:00
    @yunshui 大部分情况下正常的程序从命令行就能看出是怎么启动的了。如果非要套娃几次让你看不出是哪个特异来源,那明确就是恶意程序,不放心就全系统排查杀到每个进程都认识吧。。
    Mashirobest
        16
    Mashirobest  
       2020-07-29 03:57:27 +08:00
    我来挖个坟。目前也遇到了和楼主一样的问题,在 Roaming 里面找到了图标,父进程也是系统里面的服务,但是完全不知道如何下手。想问问楼主解决了问题没
    yunshui
        17
    yunshui  
    OP
       2020-07-29 17:33:44 +08:00
    @Mashirobest
    解决了。。。当时火绒的工作人员远程给我解决的
    Mashirobest
        18
    Mashirobest  
       2020-07-29 20:27:12 +08:00 via Android
    @yunshui 啊?那请问你还记得大概处理方法吗?我现在快被这个弹窗烦死了,广告拦截都没用
    yunshui
        19
    yunshui  
    OP
       2020-07-30 15:58:43 +08:00
    @Mashirobest 我就大概记得是远程给我关了启动项和计划任务里的项目(可能还关了其他项目),你看看有没有奇怪的项目
    Mashirobest
        20
    Mashirobest  
       2020-07-30 22:18:17 +08:00 via Android
    @yunshui 谢谢楼主,已经解决了。换了卡巴斯基,发现是捆绑了广告的木马,而且是在内存里。之前的防毒软件一直没发现,这次用卡巴彻底 kill 掉了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6008 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 03:06 · PVG 11:06 · LAX 19:06 · JFK 22:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.