帮忙分析下此行为的源头

显示全部楼层 · 发表于 2018-3-6 09:31:43

本帖最后由 comsafe 于 2018-3-6 10:33 编辑

前2天装了金山WPS，因为自己用不到WPS的云服务，索性把服务就禁用了，热点弹窗进程也写进规则了，使用也没发现有什么问题，问题是第二天出现的，弹框如上图，当时并没有使用WPS，觉得奇怪，就打开PowerTool查看了一下进程，也没发现有wps想关的任何进程。
虽然一条规则可以搞定，不过还是想请老司机分析一下此行为的发源地~~目前已经发现的是一天只进行一次网络访问，时间随即

显示全部楼层 · 发表于 2018-3-6 09:36:59

看不清楚图

显示全部楼层 · 发表于 2018-3-6 09:55:24

ELOHIM 发表于 2018-3-6 09:36
看不清楚图

可以了，换了个外链，卡饭上传图片报错Server (IO) Error

显示全部楼层 · 发表于 2018-3-6 10:23:58

comsafe 发表于 2018-3-6 09:55
可以了，换了个外链，卡饭上传图片报错Server (IO) Error

发源地？你是说那个文件注入了资源管理器？？？

显示全部楼层 · 发表于 2018-3-6 10:32:32

ELOHIM 发表于 2018-3-6 10:23
发源地？你是说那个文件注入了资源管理器？？？

目前已经发现的是一天只进行一次网络访问，时间随即
是的是的，我看了一下资源管理器的进程模块，没发现异常啊

显示全部楼层 · 发表于 2018-3-6 10:34:28

comsafe 发表于 2018-3-6 10:32
是的是的，我看了一下资源管理器的进程模块，没发现异常啊

监视一下这个链接不就可以看出来了吗。
WPS有驱动吧。

显示全部楼层 · 发表于 2018-3-6 10:36:06

ELOHIM 发表于 2018-3-6 10:34
监视一下这个链接不就可以看出来了吗。
WPS有驱动吧。

监视链接怎么操作，指导下

显示全部楼层 · 发表于 2018-3-6 10:38:48

comsafe 发表于 2018-3-6 10:36
监视链接怎么操作，指导下

procmon.exe 试试看。
我也不太会。

显示全部楼层 · 发表于 2018-3-6 10:42:10

肯定是注入了。

显示全部楼层 · 发表于 2018-3-6 10:46:40

ELOHIM 发表于 2018-3-6 10:38
procmon.exe 试试看。
我也不太会。

试试看，关键这个联网动作时间是随机的，看来要一直开着监控才行

[求助] 帮忙分析下此行为的源头