今天,我的一台電腦上的 Windows 防火牆中有一條防火牆規則,允許名為 kmss.exe 的程式傳入流量,我 100% 確定我沒有添加它,也沒有要求我允許該程式連接透過Windows 防火牆連接到互聯網。
因此,防火牆規則規定程式必須位於C:/Windows/Temp/Files/Bin/kmss.exe 中,但是當我在檔案總管中開啟C:/Windows/Temp/ 時,沒有名稱為“Files”的目錄。我嘗試使用命令提示字元來查找它,但又失敗了。我的設定已經允許在檔案總管中顯示隱藏資料夾。
因此,我懷疑 C:/Windows/Temp/Files/Bin/kmss.exe 確實存在,但不知何故,它設法修改或欺騙 Windows 認為它不存在。那可能嗎?如果是,我該怎麼做才能存取該文件並將其刪除?
答案1
是的,可以使用 root 工具包從 Windows 中隱藏檔案。您可以使用Rootkit揭露者嘗試弄清楚這種情況是否正在發生。它會掃描您的系統並嘗試尋找內核 api 報告的內容與 windows api 報告的內容之間的差異。這個連結對根工具包的工作原理有更好的解釋。
答案2
那個文件,公里管理系統,似乎是黑客工具,AutoKMS,用於繞過Windows 或 Microsoft Office 已啟動。可能有人試圖安裝該駭客攻擊,而反惡意軟體應用程式已將該檔案移至隔離區或已將其刪除。