今天本来想打两把游戏放松下,结果刚开机电脑就卡成幻灯片,风扇还嗷嗷叫唤。打开任务管理器一看,好家伙,有个叫的玩意儿偷偷摸摸吃了快一半的CPU!这名字看着就邪门,我心里咯噔一下,不会又中招了?
第一步:先揪出这货藏在哪儿
右键点它选“打开文件所在位置”,嚯,藏得挺深!路径在C:\Windows\System32\DriverStore里头一个乱码文件夹里。正经系统程序一般都在System32里安家,但这路径也太绕了,还塞在DriverStore这种放驱动的地方,感觉不对劲。
第二步:上网查户口
赶紧把文件名丢到搜素引擎里。哗跳出来一堆英文论坛,有人跟我一样在骂街:“这玩意儿是不是挖矿病毒?”“疯狂上传数据!” 但也有人说是微软的正规军。头都大了,干脆自己动手查。
- 看文件签名:右键点这个exe选“属性”->“数字签名”。签名是Microsoft Corporation?这下懵了,病毒还能偷签名?
- 看行为:开着任务管理器盯着它。这货不光吃CPU,网络那里还一抽一抽地上传,后台进程里居然还绑着个peerdistributionsvc服务,名字听着就像搞P2P分发的。
第三步:上杀手锏对比
突然想起来系统自带个sigverif工具(开始菜单搜“签名验证”就能找到)。把所有系统文件拉出来验一遍,结果看到亮绿灯写着有效。可我还是不放心,又去翻C:\Windows\System32底下——居然空荡荡的啥也没有!正常微软文件不该在System32里放一份么?
第四步:手动作死验证
心一横,直接关掉进程再把文件重命名成“*”。结果重启电脑后,好家伙!系统更新直接报错,错误码跟分发更新有关。这回实锤了:这玩意儿还真是微软的!但为啥藏在驱动文件夹还这么鬼祟...
破案了:原来是个负责局域网内分发更新的后台工具,平时屁用没有,一到更新日就狂吃资源乱上传。气得我直接冲进服务管理器找到“Peer Distribution”服务改成禁用,世界终于清净了!
所以结论就一句:看路径、验签名都是纸老虎,最狠的招就是——直接改名再重启,看系统会不会哭爹喊娘! 微软自家程序都这德性,真是防毒防到精神分裂...