Я путешествую с ноутбуком с двойной загрузкой Windows 10 / Ubuntu и часто имею довольно ограниченный доступ к WiFi. Когда я загружаюсь в сторону Windows (или даже просыпаюсь, поспав некоторое время), я часто испытываю период хуже, чем ожидалось, от производительности сети.
Открывая диспетчер задач, я вижу через «Журнал приложений», что то, что называется «Неустановленные процессы», обычно привязывает сеть на несколько минут после пробуждения. Под «колышком» я подразумеваю, что их использование в сети увеличивается в шаге от всего, что у меня есть, которое пытается загружать постоянно. Обычно он затихает через несколько минут, но он очень раздражает, когда активен. Еще хуже, когда я привязан к своему телефону, с тех пор я плачу реальные доллары за эту деятельность.
Вот типичный снимок списка «История приложений» после пробуждения и использования «Удалить историю использования», чтобы обнулить все счетчики:
Это происходит через некоторое время после того, как «неустановленные процессы» перестали использовать сеть, но первоначально после пробуждения он был привязан к процессу с самым высоким использованием сети.
Это новая коробка, и я удалил, возможно, дюжину вещей на ней, но ни одной из них в последнее время, и с момента последней переустановки было много перезагрузок.
Я отчаянно нуждаюсь в подсказках о том, как отследить этот мошеннический процесс.
источник
Delete usage historyноUninstalled processesсеть все еще увеличивается? Какое антивирусное программное обеспечение у вас есть? Я считаю, что какой-то процесс ошибочно отнесен к числуUninstalled processes.Ответы:
Как упоминалось в представлении судебной экспертизы, связанном с harrymc в комментариях, запись « Неустановленные процессы» представляет собой сумму статистики для процессов, чьи исполняемые файлы на диске больше не могут быть найдены. Монитор использования системных ресурсов Windows, о чем свидетельствует слайд 17 этой презентации, идентифицирует программы по их полным именам диспетчера объектов (в случае настольных приложений), по имени службы (в случае служб) или по идентификатору приложения Магазина Windows. ,
Диспетчер задач пытается отобразить заголовок приложения для каждой записи, но эта информация не сохраняется в базе данных SRUM - она находится только в свойствах исполняемого файла. Теория заключается в том, что если диспетчер задач не может найти EXE-файл программы, он объединяет статистику в неустановленные процессы . Мы можем проверить эту теорию, используя науку ! Загрузите вашу любимую портативную программу, которая использует много одного системного ресурса (например, Procmon , который занимает некоторое время процессора, если вы позволяете ему работать нефильтрованным некоторое время). Обратите внимание на его запись в диспетчере задач учета. Теперь закройте и удалите / переместите тестовую программу и снова откройте диспетчер задач. Используемые ресурсы были добавлены в запись « Неустановленные процессы» .
Обратите внимание, что диспетчер задач может считать программу «удаленной», если ее исполняемый файл недоступен по какой-либо причине, а не просто отсутствует. В этом случае программа, ответственная за действие, будет находиться в системном каталоге, недоступном даже администраторам (по умолчанию). Вы можете получить больше информации об этом с Process Explorer .
Следовательно, использование сети выполняется программой, которую невозможно найти во время запуска диспетчера задач. Это почти наверняка вызвано приложением для настольного компьютера, которое выгружает или извлекает другой EXE-файл (например, программу проверки обновлений), запускает этот EXE-файл и затем удаляет его после его выхода. Чтобы выяснить, что это делает, вы можете попытаться выполнить синтаксический анализ базы данных SRUM напрямую (как описано в презентации), использовать функцию ведения журнала загрузки Procmon или попытаться отключить некоторые из приложений автозапуска с помощью автозапуска .
источник
Эти процессы являются одной из великих загадок Windows и не все документированы. Это открывает дверь для спекуляций. Для меня недокументированные рифмы с частями Windows 10, о которых Microsoft не любит говорить.
Одно из определений этих процессов можно найти в этой криминалистической презентации SRUM, которая бесполезно объясняет их как:
Поскольку программа , которая больше не на диске также больше не способна иметь сетевую активность, само собой разумеется , что эта сетевая активность около , а не с помощью этих неустановленных процессов, и единственный объект восприимчивого делать это для Windows или один из его компоненты, главными из которых является телеметрия, известная тем, что она плохо документирована и нарушает конфиденциальность.
В статье Windows 10 секреты телеметрии дается определение телеметрии:
Моя теория заключается в том, что это Windows пытается сообщить своим секретным серверам телеметрии идентификацию удаленных процессов. Или, возможно, Защитник Windows (теперь нерушимая часть Windows) пытается передать информацию об этих процессах.
Попробуйте отключить все в разделе « Настройки» -> «Обновление и безопасность» -> «Защитник Windows» и дважды перезагрузитесь, чтобы увидеть, исчезнет ли это. Однако Windows 10 известна благодаря телеметрии, которую нельзя полностью остановить.
Если это не помогает, попробуйте использовать продукт, такой как TCPView, чтобы найти IP-адрес сервера, с которым осуществляется связь. Здесь я предполагаю, что сетевая активность связана с Интернетом, что легко проверяется загрузкой без подключения к Интернету. Диспетчер задач может маскировать личность этого процесса под именем «Неустановленные процессы», но, возможно, Process Explorer скажет правду.
Зная IP-адрес сервера, вы можете использовать службу whois, например IP WHOIS Lookup, для идентификации владельца веб-сайта.
источник