收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 软件区 windows区 小白求惑 请问WINDOWS到底还存在多少这样的文件?
12下一页
返回列表 发新帖
查看: 1765|回复: 17
收起左侧

[讨论] 小白求惑 请问WINDOWS到底还存在多少这样的文件?

[复制链接]
人间风雪客
发表于 2023-7-25 21:06:33 | 显示全部楼层 |阅读模式
事情起因:昨天电脑出现无法抓取线程的程序,为了安全就通过netstat -o 用命令以求安全。

今天通过命令得到个PID为“xxxx”的进程信息,打开任务管理器PID信息为挂起,而使用命令显示3个链接为ESTABLISHED.

然后在硬盘中进行了搜索,对应文件为C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe(一共查找出4个文件,有2个有文件详细信息,2个是没有的)。

以下是2个有的文件包位置:

C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy

C:\Windows\WinSxS\amd64_microsoft-windows-s..sktop.appxmain.root_31bf3856ad364e35_10.0.19041.2913_none_3db0677b33658ce0


以下是2个没有的文件包位置:

C:\Windows\WinSxS\amd64_microsoft-windows-s..sktop.appxmain.root_31bf3856ad364e35_10.0.19041.2913_none_3db0677b33658ce0\f

C:\Windows\WinSxS\amd64_microsoft-windows-s..sktop.appxmain.root_31bf3856ad364e35_10.0.19041.2913_none_3db0677b33658ce0\r

请问WINDOWS到底还存在多少这样的文件?小白第一时间该如何判断该文件为可疑文件?烦请大佬指点。

本人系统为: Windows 10 专业版   版本号:22H2  操作系统内置版本:19045.3208   体验:Windows Feature Experience Pack 1000.19041.1000.0,不是官网下的,是B站上看UP介绍的。

我就不上传文件了,请想测试的朋友直接查找文件。

1屏幕截图 2023-07-25 205743.png


2屏幕截图 2023-07-25 210109.png


3屏幕截图 2023-07-25 210243.png

如果排版有点乱的话还请各位朋友将就看看,谢谢。



回复

举报

vbtueli
发表于 2023-7-26 06:53:09 | 显示全部楼层
https://answers.microsoft.com/zh ... 0-acf8-b0d2ba136c69
回复

举报

天月来了
发表于 2023-7-26 08:40:03 | 显示全部楼层
要分两种情况来看,要是原本微软Windows安装包安装出来的系统有这些,无需考虑,那是微软的事。

要是网上到处找的系统的话,那么排除微软原来的这类文件后,再冒出来的也要分两种看,一是可能制作系统的人做的修改系统各界面的程序,二是某种恶意程序。

所以一般来说,系统无异常,无常驻进程,无不正常的网络访问情况,这些都无需考虑的。
回复

举报

人间风雪客
 楼主| 发表于 2023-7-26 09:58:43 | 显示全部楼层
谢谢了。说白了,就是微软对自己的产品都没给出直接定义,如果规定文件在“详细信息”为空白时定义为什么(可疑文件或恶意程序),那么像我这样的小白就不用这么累了。

万分感谢~
回复

举报

Kd.
发表于 2023-7-26 11:49:25 | 显示全部楼层
人间风雪客 发表于 2023-7-26 09:58
谢谢了。说白了,就是微软对自己的产品都没给出直接定义,如果规定文件在“详细信息”为空白时定义为什么( ...

差不多得了,你自己不会看有没有数字签名吗,你自己不会查一下毒吗?还怪微软没给定义,你告诉我世界上这么多文件怎么能随便下一个不负责任的定义,简直荒唐至极

别再以自我为中心地自称小白,不该动的东西去瞎折腾,然后怪这怪那的了
回复

举报

人间风雪客
 楼主| 发表于 2023-7-26 12:06:15 | 显示全部楼层
Kd. 发表于 2023-7-26 11:49
差不多得了,你自己不会看有没有数字签名吗,你自己不会查一下毒吗?还怪微软没给定义,你告诉我世界上这 ...

https://bbs.360.cn/forum.php?mod ... 16095631&extra=  (请在虚拟机中浏览)

对于电脑我根本就不懂,也不想争辩什么,你可以去官网直接下个在虚拟机中试试,如果我有我说的那个文件,你可以默默观察,如果没有就说明我电脑有问题。
回复

举报

MagicFuzzX
发表于 2023-7-26 13:21:36 | 显示全部楼层
WinSxS下面的是兼容组件,可以让模拟为老系统让app跑起来,可能会动态增加几个组件。
回复

举报

人间风雪客
 楼主| 发表于 2023-7-26 13:47:34 | 显示全部楼层
Kd. 发表于 2023-7-26 11:49
差不多得了,你自己不会看有没有数字签名吗,你自己不会查一下毒吗?还怪微软没给定义,你告诉我世界上这 ...

我安装的是360卫士极速版。下载的360卫士极速版安装包无法上传。
以下是656f6299.exe文件的样本。
656f6299.rar (84.95 KB, 下载次数: 43)
回复

举报

ttpcy
发表于 2023-7-30 19:10:13 | 显示全部楼层
给个建议:
对外发起连接的程序,只要不是明显的病毒文件(可以综合文件签名、存储位置、外联ip等信息,或者用virustotal跑跑看),在不影响其他功能使用的前提下,禁掉它联网功能就可以。

对于疑似病毒文件,你真不放心的话可以给它删了,或者改个名。

另外,微软如果想搞事情,你没法防的,除非完全不联网
回复

举报

人间风雪客
 楼主| 发表于 2023-7-30 22:14:53 | 显示全部楼层
ttpcy 发表于 2023-7-30 19:10
给个建议:
对外发起连接的程序,只要不是明显的病毒文件(可以综合文件签名、存储位置、外联ip等信息,或 ...

感谢指点,谢谢
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-28 23:05 , Processed in 0.127568 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表