查看: 2192|回复: 17
收起左侧

[讨论] 小白求惑 请问WINDOWS到底还存在多少这样的文件?

[复制链接]
人间风雪客
发表于 2023-7-25 21:06:33 | 显示全部楼层 |阅读模式
事情起因:昨天电脑出现无法抓取线程的程序,为了安全就通过netstat -o 用命令以求安全。

今天通过命令得到个PID为“xxxx”的进程信息,打开任务管理器PID信息为挂起,而使用命令显示3个链接为ESTABLISHED.

然后在硬盘中进行了搜索,对应文件为C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe(一共查找出4个文件,有2个有文件详细信息,2个是没有的)。

以下是2个有的文件包位置:

C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy

C:\Windows\WinSxS\amd64_microsoft-windows-s..sktop.appxmain.root_31bf3856ad364e35_10.0.19041.2913_none_3db0677b33658ce0


以下是2个没有的文件包位置:

C:\Windows\WinSxS\amd64_microsoft-windows-s..sktop.appxmain.root_31bf3856ad364e35_10.0.19041.2913_none_3db0677b33658ce0\f

C:\Windows\WinSxS\amd64_microsoft-windows-s..sktop.appxmain.root_31bf3856ad364e35_10.0.19041.2913_none_3db0677b33658ce0\r

请问WINDOWS到底还存在多少这样的文件?小白第一时间该如何判断该文件为可疑文件?烦请大佬指点。

本人系统为: Windows 10 专业版   版本号:22H2  操作系统内置版本:19045.3208   体验:Windows Feature Experience Pack 1000.19041.1000.0,不是官网下的,是B站上看UP介绍的。

我就不上传文件了,请想测试的朋友直接查找文件。

1屏幕截图 2023-07-25 205743.png


2屏幕截图 2023-07-25 210109.png


3屏幕截图 2023-07-25 210243.png

如果排版有点乱的话还请各位朋友将就看看,谢谢。



天月来了
发表于 2023-7-26 08:40:03 | 显示全部楼层
要分两种情况来看,要是原本微软Windows安装包安装出来的系统有这些,无需考虑,那是微软的事。

要是网上到处找的系统的话,那么排除微软原来的这类文件后,再冒出来的也要分两种看,一是可能制作系统的人做的修改系统各界面的程序,二是某种恶意程序。

所以一般来说,系统无异常,无常驻进程,无不正常的网络访问情况,这些都无需考虑的。
人间风雪客
 楼主| 发表于 2023-7-26 09:58:43 | 显示全部楼层
谢谢了。说白了,就是微软对自己的产品都没给出直接定义,如果规定文件在“详细信息”为空白时定义为什么(可疑文件或恶意程序),那么像我这样的小白就不用这么累了。

万分感谢~
Kd.
发表于 2023-7-26 11:49:25 | 显示全部楼层
人间风雪客 发表于 2023-7-26 09:58
谢谢了。说白了,就是微软对自己的产品都没给出直接定义,如果规定文件在“详细信息”为空白时定义为什么( ...

差不多得了,你自己不会看有没有数字签名吗,你自己不会查一下毒吗?还怪微软没给定义,你告诉我世界上这么多文件怎么能随便下一个不负责任的定义,简直荒唐至极

别再以自我为中心地自称小白,不该动的东西去瞎折腾,然后怪这怪那的了
人间风雪客
 楼主| 发表于 2023-7-26 12:06:15 | 显示全部楼层
Kd. 发表于 2023-7-26 11:49
差不多得了,你自己不会看有没有数字签名吗,你自己不会查一下毒吗?还怪微软没给定义,你告诉我世界上这 ...

https://bbs.360.cn/forum.php?mod ... 16095631&extra=  (请在虚拟机中浏览)

对于电脑我根本就不懂,也不想争辩什么,你可以去官网直接下个在虚拟机中试试,如果我有我说的那个文件,你可以默默观察,如果没有就说明我电脑有问题。
MagicFuzzX
发表于 2023-7-26 13:21:36 | 显示全部楼层
WinSxS下面的是兼容组件,可以让模拟为老系统让app跑起来,可能会动态增加几个组件。
人间风雪客
 楼主| 发表于 2023-7-26 13:47:34 | 显示全部楼层
Kd. 发表于 2023-7-26 11:49
差不多得了,你自己不会看有没有数字签名吗,你自己不会查一下毒吗?还怪微软没给定义,你告诉我世界上这 ...

我安装的是360卫士极速版。下载的360卫士极速版安装包无法上传。
以下是656f6299.exe文件的样本。
656f6299.rar (84.95 KB, 下载次数: 311)
ttpcy
发表于 2023-7-30 19:10:13 | 显示全部楼层
给个建议:
对外发起连接的程序,只要不是明显的病毒文件(可以综合文件签名、存储位置、外联ip等信息,或者用virustotal跑跑看),在不影响其他功能使用的前提下,禁掉它联网功能就可以。

对于疑似病毒文件,你真不放心的话可以给它删了,或者改个名。

另外,微软如果想搞事情,你没法防的,除非完全不联网
人间风雪客
 楼主| 发表于 2023-7-30 22:14:53 | 显示全部楼层
ttpcy 发表于 2023-7-30 19:10
给个建议:
对外发起连接的程序,只要不是明显的病毒文件(可以综合文件签名、存储位置、外联ip等信息,或 ...

感谢指点,谢谢
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:55 , Processed in 0.135913 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表