Podróżuję z moim laptopem z systemem Windows 10 / Ubuntu z podwójnym uruchomieniem i często mam dość ograniczony dostęp do Wi-Fi. Kiedy uruchamiam się po stronie systemu Windows (lub nawet budzę się ze snu po chwili snu), często doświadczam okresu gorszej niż oczekiwano wydajności sieci.
Otwierając menedżera zadań, poprzez „Historię aplikacji” widzę, że coś, co nazywa się „Procesami niezinstalowanymi”, zazwyczaj blokuje sieć na kilka minut po przebudzeniu. Przez „peg” mam na myśli to, że ich użycie sieci wzrasta w krok po kroku z czymkolwiek innym, co mam otwarte, co próbuje ciągle pobierać. Zwykle po kilku minutach robi się cicho, ale jest bardzo denerwujący, gdy jest aktywny. Gorzej jest, gdy mam połączenie z telefonem, od tego czasu płacę za tę działalność prawdziwe dolary.
Oto typowe ujęcie listy „Historia aplikacji” po przebudzeniu i użyciu „Usuń historię użytkowania” w celu wyzerowania wszystkich liczników:
Trwa to jakiś czas po tym, jak „odinstalowane procesy” przestały korzystać z sieci, ale początkowo po przebudzeniu zostało powiązane z najwyższą siecią używającą procesu.
To jest nowe pudełko i odinstalowałem na nim może tuzin rzeczy, ale ostatnio nie ma ich wcale, a od ostatniej ponownej instalacji było wiele restartów.
Jestem bardzo zdesperowany, aby uzyskać wskazówkę, jak wyśledzić ten nieuczciwy proces.
źródło
Delete usage history
aleUninstalled processes
Sieć wciąż się powiększa? Jakie masz oprogramowanie antywirusowe? Szacuję, że jakiś proces jest niewłaściwie umieszczony wśródUninstalled processes
.Odpowiedzi:
Jak wspomniano w prezentacji kryminalistycznej połączonej przez harrymc w komentarzach, pozycja Odinstalowane procesy jest sumą statystyk dla procesów, których plików wykonywalnych na dysku nie można już znaleźć. Monitor użycia zasobów systemu Windows, o czym świadczy slajd 17 tej prezentacji, identyfikuje programy według ich pełnych nazw Object Manager (w przypadku aplikacji komputerowych), nazwy usługi (w przypadku usług) lub identyfikatora aplikacji ze Sklepu Windows .
Menedżer zadań próbuje wyświetlić tytuł aplikacji dla każdego wpisu, ale te informacje nie są przechowywane w bazie danych SRUM - są to tylko właściwości pliku wykonywalnego. Teoria polega na tym, że jeśli Menedżer zadań nie może znaleźć pliku EXE programu, gromadzi statystyki w Odinstalowanych procesach . Możemy zweryfikować tę teorię za pomocą nauki ! Pobierz swój ulubiony przenośny program, który wykorzystuje wiele jednego zasobu systemowego (np. Procmon , co zabiera trochę czasu procesora, jeśli pozwolisz mu działać przez chwilę bez filtrowania ). Zanotuj jego wpis w rachunkowości Menedżera zadań. Teraz zamknij i usuń / przenieś program testowy, a następnie ponownie otwórz Menedżera zadań. Użyte zasoby zostały dodane do pozycji Odinstalowane procesy .
Pamiętaj, że Menedżer zadań może uznać program za „odinstalowany”, jeśli jego plik wykonywalny jest niedostępny z dowolnego powodu, nie tylko z powodu braku. W takim przypadku program odpowiedzialny za działanie znajdowałby się w katalogu systemowym niedostępnym nawet dla administratorów (domyślnie). Możesz uzyskać więcej informacji na ten temat dzięki Process Explorer .
Dlatego użycie sieci jest wykonywane przez program, którego nie można znaleźć podczas uruchamiania Menedżera zadań. Jest to prawie na pewno spowodowane aplikacją komputerową, która zrzuca lub wypakowuje inny plik EXE (np. Program sprawdzający aktualizacje), uruchamia ten plik EXE, a następnie usuwa go po zakończeniu. Aby dowiedzieć się, co to robi, możesz spróbować bezpośrednio przeanalizować bazę danych SRUM (zgodnie z opisem w prezentacji), skorzystać z funkcji rejestrowania rozruchu Procmon lub spróbować wyłączyć niektóre z aplikacji autouruchamiania za pomocą Autoruns .
źródło
Procesy te są jedną z wielkich tajemnic systemu Windows i nie są wszystkie udokumentowane. To otwiera drzwi do spekulacji. Dla mnie nieudokumentowane rymy z częściami systemu Windows 10, o których Microsoft nie lubi rozmawiać.
Jedną definicję tych procesów można znaleźć w tej prezentacji kryminalistycznej SRUM forensics, która bezskutecznie wyjaśnia je jako:
Ponieważ program, który nie jest już na dysku jest również nie może mieć aktywność sieciową, to ma się rozumieć, że działalność ta sieć jest o raczej niż przez tych odinstalowanych procesów, a jedynym podmiotem podatne na osiągnięcie tego jest Windows lub jeden z jego komponenty, z których najważniejszym jest telemetria, znana z tego, że jest źle udokumentowana i narusza prywatność.
Artykuł Tajne dane telemetryczne systemu Windows 10 definiują dane telemetryczne:
Moja teoria jest taka, że to Windows próbuje przekazać swoim tajnym serwerom telemetrycznym tożsamość odinstalowanych procesów. A może Windows Defender (obecnie niezniszczalna część systemu Windows) próbuje przekazać informacje o tych procesach.
Spróbuj wyłączyć wszystko w Ustawieniach -> Aktualizacja i zabezpieczenia -> Windows Defender i uruchom ponownie dwa razy, aby zobaczyć, czy to zniknie. Jednak system Windows 10 znany jest z telemetrii, której nie można całkowicie zatrzymać.
Jeśli to nie pomoże, spróbuj użyć produktu takiego jak TCPView, aby znaleźć adres IP serwera, z którym odbywa się komunikacja. Zakładam tutaj, że aktywność sieci jest skierowana do Internetu, co można łatwo przetestować, uruchamiając komputer bez połączenia z Internetem. Menedżer zadań może maskować tożsamość tego procesu pod nazwą „Odinstalowane procesy”, ale być może Process Explorer powie prawdę.
Gdy znasz adres IP serwera, możesz skorzystać z usługi whois, takiej jak IP WHOIS Lookup, aby zidentyfikować właściciela witryny.
źródło