?
不对!
自己又中了幻术,是什么时候?这个幻术又是什么作用?
他又是怎么知道自己脱离了前两个幻术!?
弘树立刻切换到进程的详细信息页面,按cpu使用率重新排序。虽然没有明显的“之术”进程,但他敏锐地发现了异常——几个本应正常的系统进程正在消耗着不该有的资源。
svchost.exe,cpu占用28%。这个数值让弘树皱起了眉头。
svchost.exe是windows系统的核心进程文件,完整名称是servicehostprocess服务宿主进程作用是承载多个windows系统服务。
他右键点击这个进程,选择“打开文件所在位置”。
当文件资源管理器窗口弹出时,显示的路径让他心中一凛:c:windowstempsvchost.exe
这个位置不对!
“这不对!真正的svchost.exe应该在system32目录下!”
弘树虽然不记得自己的这个金手指里有system32,但他隐约记得,自己的系统是没有32位和64位的区别,对应的名称叫system>^w^^w^进程快照.tmp
::逐个检查列表中的系统进程
为%%进程名在%系统进程列表%做
查找字符串“%%进程名“进程快照.tmp|查找字符串v“%合法路径%“>伪装进程.tmp
如果文件存在伪装进程.tmp
::从伪装进程文件中提取进程id并结束它
为f“令牌2“%%进程id在伪装进程.tmp做
任务管理器强制结束进程id%%进程id
记录日志“检测到恶意伪装并已清除:%%进程名“
::内存保护模式
:监控内存
如果检测到外部写入视觉缓存
如果来源不等于“弘树_本体系统“
拦截写入操作
记录日志“阻止非法内存写入:视觉缓存区域“
如果检测到外部写入听觉缓存
如果来源不等于“弘树_本体系统“
拦截写入操作
记录日志“阻止非法内存写入:听觉缓存区域“
跳