手把手教你揪出后台偷偷读写磁盘和联网的恶意程序
作者:本站 来源:本站
2026-04-10 16:23 834阅读

电脑突然卡成PPT,磁盘灯狂闪,网速却慢得像拨号,
明明没开啥大程序,后台却在偷偷干坏事,
它到底是谁、连了哪儿、啥时候动手的?
我昨晚刷短视频到十一点,关机前顺手看了眼任务管理器,磁盘占用97%,持续了快六分钟。System进程占着,但点开一看,底下挂着个叫“UpdateHelper.exe”的东西,路径是C:\Users\Leo\AppData\Local\Temp\20260321\UpdateHelper.exe。这玩意儿我从来没见过,也没装过任何带“UpdateHelper”字样的软件。

我就按网上随便搜的法子点进资源监视器,切到磁盘页,勾上它,下面列表里它正疯狂读写pagefile.sys和一些后缀为.tmp的文件,响应时间一直卡在45ms以上。再切到网络页,它竟然连了两个IP:一个185.199.108.153,一个104.21.34.172。右键选“在浏览器中搜索”,第一个IP跳出来是GitHub Pages的CDN,看着还行;第二个IP在VirusTotal上查,显示“malicious communication with Cobalt Strike C2 infrastructure”。我当时就愣了——我根本没碰过啥黑客工具。
第二天早上我翻了下系统自带的数据使用记录。设置→网络和Internet→Wi-Fi→数据使用量→查看使用记录。那个UpdateHelper.exe在凌晨3:17、3:49、4:22各连了37秒,每次上传约1.2MB,下载不到10KB。没用户操作,没开机唤醒,就它自己醒了,在那儿发东西。

我又打开事件查看器,输入eventvwr.msc,点进“Windows日志→安全”,筛选ID 4688。果然,几条记录里它的命令行写着:`C:\Users\Leo\AppData\Local\Temp\20260321\UpdateHelper.exe -silent -f C:\Users\Leo\AppData\Roaming\config.dat。那个-f参数我搜了下,很多远控木马都用它来指定配置文件。再核对4624和4634登录注销日志,它启动时间全在我锁屏之后,注销后才停。不是巧合,是算准了。
复制路径到文件资源管理器,进入Temp文件夹。文件属性显示创建时间是昨天下午2:03,数字签名一栏写着“无法验证”。右键用PowerShell以管理员身份运行,输入Get-AuthenticodeSignature命令,返回结果是“NotSigned”。

然后我试了下它是不是UWP应用,shell:AppsFolder扫了一遍,没有这个名字。又用tasklist /svc查了svchost.exe,确认这个UpdateHelper没有挂靠在系统服务下面——它就是裸奔的独立进程。
我把整个过程记下来,按时间线整理成四块:任务管理器抓第一眼异常,资源监视器看它在读啥、连谁,数据使用量和事件日志补时间证据,最后全部对上才算数。不单看CPU,不光信杀软弹窗,也不靠玄学感觉。四块证据凑齐了,才敢删。

删之前我把它文件拖进VirusTotal上传,12家引擎报毒,其中6家标的是“TrickBot downloader”。我点了结束任务,进程没了,磁盘灯立刻亮了,风扇声音也小了。
后来查得,是上周装的一个PDF转换小工具带的。安装包官网看着挺正规,但下载链接被劫持过,实际装的是改包。我没开UAC提示一路点下一步,它就默默在Temp里落了根。

这法子我试了三次,一次是朋友电脑半夜自动弹Edge浏览器,一次是公司旧笔记本持续上传,还有一次是我自己的。三次都没靠杀毒软件——它们全没报,但三阶法一走完,问题现形。
任务管理器只给面子,资源监视器才说实话,事件查看器不撒谎。

删完重启,桌面干净了,磁盘灯不闪了,网也快了。

上一篇
下一篇
相关阅读