컴퓨터를 켤 때마다 네트워크를 사용하는 신비한 "제거 된 프로세스"

듀얼 부팅 Windows 10 / Ubuntu 랩톱으로 여행하며 WiFi에 대한 액세스가 상당히 제한적인 경우가 많습니다. Windows쪽으로 부팅 할 때 (또는 잠자기 후 잠에서 깨어날 때) 네트워크 성능이 예상보다 좋지 않은 경우가 종종 있습니다.

작업 관리자를 열면 "앱 기록"을 통해 "제거 된 프로세스"라는 것이 일반적으로 깨어 난 후 몇 분 동안 네트워크를 페깅하는 것을 알 수 있습니다. "페그 (peg)"라는 말은 지속적으로 다운로드하려고하는 열려있는 다른 것들과의 네트워크 사용이 증가 함을 의미합니다. 일반적으로 몇 분 후에는 조용해 지지만 작동하는 동안 매우 성가시다. 휴대폰에 테 더링하는 동안 상황이 더 나빠졌습니다. 그 이후로이 액티비티에 대해 실제 비용을 지불하고 있습니다.

다음은 깨운 후 "사용 기록 삭제"를 사용하여 모든 카운터를 0으로 만드는 "앱 기록"목록의 일반적인 샷입니다.

"설치되지 않은 프로세스"가 네트워크 사용을 중지 한 후 얼마 지나지 않았지만 처음에는 깨우기 후 프로세스를 사용하여 가장 높은 네트워크에 연결되었습니다.

이것은 새로운 상자이며 아마도 12 가지를 제거했지만 최근에는 아무것도 없었으며 마지막 재설치 이후 많은 재부팅이있었습니다.

이 악성 프로세스를 추적하는 방법에 대한 팁이 절실합니다.

주석에서 harrymc가 링크 한 포렌식 프레젠테이션 에서 언급 한 것처럼 , 제거 된 프로세스 항목은 디스크에서 실행 파일을 더 이상 찾을 수없는 프로세스에 대한 통계의 합계입니다. 프레젠테이션의 슬라이드 17에서 증명 된 Windows 시스템 리소스 사용 모니터는 전체 개체 관리자 이름 (데스크톱 앱의 경우), 서비스 이름 (서비스의 경우) 또는 Windows Store 응용 프로그램 ID로 프로그램을 식별합니다. .

작업 관리자는 모든 항목에 대한 응용 프로그램 제목을 표시하려고하지만 해당 정보는 SRUM 데이터베이스에 저장되지 않으며 실행 파일의 속성에만 있습니다. 이론은 작업 관리자가 프로그램의 EXE를 찾을 수 없으면 통계를 제거 된 프로세스 로 묶습니다 . 우리는 과학을 사용하여 이론을 확인할 수 있습니다 ! 하나의 시스템 리소스를 많이 사용하는 좋아하는 휴대용 프로그램을 다운로드하십시오 (예 : Procmon , 필터링하지 않고 약간만 실행하면 CPU 시간이 걸립니다). 작업 관리자 계정에 해당 항목이 있습니다. 이제 테스트 프로그램을 닫고 삭제 / 이동 한 후 작업 관리자를 다시여십시오. 사용 된 자원이 설치 제거 된 프로세스 항목 에 추가되었습니다 .

작업 관리자 는 부재가 아닌 어떤 이유로 든 실행 파일에 액세스 할 수없는 경우 "설치 제거 된"프로그램을 고려할 수 있습니다 . 이 경우 활동을 담당하는 프로그램은 기본적으로 관리자도 액세스 할 수없는 시스템 디렉토리에 있습니다. Process Explorer를 사용 하여 자세한 정보를 얻을 수 있습니다 .

따라서 작업 관리자를 실행할 때 찾을 수없는 프로그램이 네트워크 사용을 수행하고 있습니다. 이것은 다른 EXE (예 : 업데이트 검사기 프로그램)를 덤프하거나 추출하여 EXE를 실행 한 다음 종료 된 후 삭제하는 데스크톱 응용 프로그램에 의해 발생합니다. 그것을 밖으로 무엇을하고 있는지 파악하려면 (프리젠 테이션에 설명 된대로), 직접 SRUM 데이터베이스를 분석 Procmon의 사용을 시도 할 수 있습니다 부팅 로깅 기능을 , 또는하여 자동 시작 응용 프로그램의 일부 해제 시도 Autoruns를을 .

이러한 프로세스는 Windows의 가장 큰 미스터리 중 하나이며 모두 문서화되어 있지는 않습니다. 이것은 투기의 문을 엽니 다. 필자에게는 문서화되지 않은 것이 Microsoft가 말하는 것을 싫어하는 Windows 10의 일부와 관련이 있습니다.

이러한 프로세스에 대한 하나의 정의는이 포렌식 프레젠테이션 SRUM 포렌식 에서 다음 과 같이 도움이되지 않는 방법으로 설명됩니다.

'설치 제거 된 프로세스'는 더 이상 모든 프로그램이 디스크의 원래 위치에 있지 않음

디스크에 더 이상 프로그램이 또한 네트워크 활성을 갖는의 더 이상 할 수 없기 때문에,이 네트워크 활동이 있음을 추론하기 위하여 서 에 대한 보다는 하여 이 제거 프로세스, 그 일의 취약 유일한 개체는 윈도우 또는 하나의 구성 요소는 주로 원격 분석이며 문서화가 잘되지 않고 프라이버시를 침해하는 것으로 알려져 있습니다.

Windows 10 원격 측정 비밀 문서 에서는 원격 측정을 정의합니다.

Microsoft는 원격 분석을 "범용 원격 분석 클라이언트 또는 UTC 서비스라고도하는"Connected User Experience and Telemetry 구성 요소에 의해 업로드 된 시스템 데이터 "로 정의합니다. (조금 더 자세히 설명하겠습니다.)

Microsoft는 Windows 10의 원격 측정 데이터를 사용하여 보안 및 안정성 문제를 식별하고, 소프트웨어 문제를 분석 및 수정하고, Windows 및 관련 서비스의 품질을 개선하고, 향후 릴리스에 대한 디자인 결정을 내립니다.

내 이론은 이것이 Windows가 비밀 원격 측정 서버와 통신을 시도하여 제거 된 프로세스의 ID라는 것입니다. 또는 Windows Defender (현재는 깨지지 않는 부분)가 이러한 프로세스에 대한 정보를 전달하려고합니다.

설정-> 업데이트 및 보안-> Windows Defender 에서 모든 항목을 비활성화 하고 두 번 재부팅하여 이것이 사라지는 지 확인하십시오. 그러나 Windows 10은 완전히 중지 할 수없는 원격 측정으로 알려져 있습니다.

그래도 문제가 해결되지 않으면 TCPView 와 같은 제품을 사용 하여이 통신이 수행되는 서버의 IP 주소를 찾으십시오. 여기서는 네트워크 활동이 인터넷을 향하고 있으며 인터넷에 연결하지 않고 부팅하여 쉽게 테스트 할 수 있다고 가정합니다. 작업 관리자는 "Uninstalled Processes"라는 이름으로 해당 프로세스의 ID를 숨길 수 있지만 프로세스 탐색기 에서 사실을 알 수 있습니다.

서버의 IP 주소를 알고 나면 IP WHOIS Lookup 과 같은 후이즈 서비스를 사용 하여 웹 사이트의 소유자를 식별 할 수 있습니다.