假設我有一個名為「EvilMalware.exe」的進程,它會不斷重新啟動(即我殺死它並在幾秒鐘後重新啟動)。
我查了一下啟動它的進程,它是C:\Windows\System32\services.exe。
這似乎是一個合法的 Windows 啟動過程。
那我怎麼能弄清楚是什麼告訴 services.exe 繼續重新啟動「EvilMalware.exe」呢?
答案1
跑步過程表達式。它將顯示一個漂亮的分叉樹,描述父進程。您也可以右鍵單擊標題並新增“命令列”列來查看參數。
答案2
services.exe是用於啟動、停止和與服務互動的程式。
假設您有邪惡的惡意軟體,我建議最好的做法是進行病毒掃描。
您也許可以在服務控制面板中封鎖它,但惡意軟體可能會恢復您所做的任何變更。
您應該啟動 ClamAV 等防毒軟體來刪除文件,而病毒無法篡改。