ลึกลับ "กระบวนการที่ถอนการติดตั้ง" โดยใช้เครือข่ายทุกครั้งที่ฉันเปิดคอมพิวเตอร์

8

ฉันกำลังเดินทางกับแล็ปท็อป Windows 10 / Ubuntu แบบดูอัลบูตของฉันและมักจะมีการเข้าถึง WiFi ค่อนข้าง จำกัด เมื่อฉันบูตเข้าสู่ด้านต่าง ๆ ของ Windows (หรือแม้กระทั่งตื่นจากโหมดสลีปหลังจากนอนหลับไปครู่หนึ่ง) ฉันมักจะพบว่าช่วงเวลาที่แย่กว่าประสิทธิภาพเครือข่ายที่คาดไว้

การเปิดตัวจัดการงานฉันเห็นผ่าน "ประวัติแอพ" ว่ามีบางสิ่งที่เรียกว่า "กระบวนการที่ถอนการติดตั้ง" โดยทั่วไปแล้วจะตรึงเครือข่ายสักสองสามนาทีหลังจากตื่น โดย "ตรึง" ฉันหมายความว่าการใช้เครือข่ายของพวกเขาเพิ่มขึ้นใน lockstep กับสิ่งอื่นที่ฉันได้เปิดที่พยายามดาวน์โหลดอย่างต่อเนื่อง โดยปกติแล้วจะเงียบหลังจากผ่านไปไม่กี่นาที แต่มันก็น่ารำคาญอย่างยิ่งในขณะที่ใช้งานอยู่ มันเลวร้ายยิ่งในขณะที่ล่ามไว้ในโทรศัพท์ของฉันตั้งแต่นั้นฉันจะจ่ายเงินจริงสำหรับกิจกรรมนี้

นี่เป็นภาพปกติของรายการ "ประวัติแอพ" หลังจากตื่นและใช้ "ลบประวัติการใช้งาน" เพื่อให้ตัวนับทั้งหมดเป็นศูนย์:

ภาพหน้าจอตัวจัดการงาน

นี่คือบางเวลาหลังจาก "กระบวนการที่ถอนการติดตั้ง" หยุดใช้เครือข่าย แต่เริ่มแรกหลังจากปลุกมันถูกเชื่อมโยงกับเครือข่ายสูงสุดโดยใช้กระบวนการ

นี่คือกล่องใหม่และฉันได้ถอนการติดตั้งอาจจะมีสิ่งต่าง ๆ มากมาย แต่ไม่มีเมื่อเร็ว ๆ นี้และมีการรีบูตจำนวนมากนับตั้งแต่ติดตั้งครั้งล่าสุด

ฉันค่อนข้างหมดหวังสำหรับเคล็ดลับในการติดตามกระบวนการโกงนี้

networking  windows-10  process  task-manager 
BeeOnRope
แหล่งที่มา
ฉันคิดว่าคุณได้คลิกDelete usage historyแต่Uninstalled processesเครือข่ายยังคงเพิ่มขึ้น? คุณมีซอฟต์แวร์ป้องกันไวรัสอะไรบ้าง Uninstalled processesผมประเมินว่ากระบวนการบางอย่างจะใส่ผิดในหมู่
Vojtěch Dohnal
ใช่ฉันคลิกบ่อยๆ ฉันแค่ใช้ตัวป้องกันของ Microsoft ในตัวหรืออะไรก็ตามที่เรียกว่าใน Windows 10
BeeOnRope
ดูเหมือนว่าจะส่งผลกระทบต่อwindows 8เช่นกัน
Dmitry Grigoryev
กระบวนการเหล่านี้เป็นปริศนาที่ยิ่งใหญ่ งานนำเสนอทางนิติเวชนี้ช่วยอธิบายพวกเขาอย่างไร้เหตุผลว่า: "กระบวนการที่ถอนการติดตั้งแล้ว 'เป็นโปรแกรมทั้งหมดที่ไม่ได้อยู่บนดิสก์อีกต่อไป (ในตำแหน่งเดิม)" ทฤษฎีของฉันคือว่านี่เป็นทั้ง Windows หรือโปรแกรมป้องกันไวรัสที่พยายามสื่อสารข้อมูลบางอย่างเกี่ยวกับกระบวนการเหล่านี้ไปยัง Microsoft ลองปิดการใช้งานทุกอย่างภายใต้การตั้งค่า -> อัปเดตและความปลอดภัย -> Windows Defender และรีบูตสองครั้งเพื่อดูว่าสิ่งนี้จะหายไปหรือไม่
harrymc
1
สิ่งที่เกี่ยวกับการใช้ Sysinternals ProcessExplorer แทนที่จะเป็น task manager ไม่มีกลุ่มกระบวนการที่ถูกถอนการติดตั้ง จากนั้นคุณสามารถอัปเดตคำถามด้วยข้อมูลเกี่ยวกับกระบวนการและเธรดที่ใช้เครือข่ายจริงๆ พวกเขายังมี Sysinternals TCPView ซึ่งจะดียิ่งขึ้นสำหรับวัตถุประสงค์ของคุณในที่สุดแล้วการตรวจสอบกระบวนการ
Vojtěch Dohnal

คำตอบ:

5

ดังที่กล่าวถึงในงานนำเสนอทางนิติเวชที่เชื่อมโยงกันโดย harrymc ในความคิดเห็นรายการกระบวนการที่ถอนการติดตั้งคือผลรวมของสถิติสำหรับกระบวนการที่ไม่พบไฟล์ปฏิบัติการบนดิสก์ การตรวจสอบการใช้ทรัพยากรระบบของ Windows ตามที่ปรากฏในสไลด์ที่ 17 ของงานนำเสนอระบุโปรแกรมด้วยชื่อตัวจัดการแบบเต็ม(ในกรณีของแอปเดสก์ท็อป), ชื่อบริการ (ในกรณีของบริการ) หรือรหัสแอปพลิเคชัน Windows Store .

ตัวจัดการงานพยายามที่จะแสดงชื่อแอปพลิเคชันสำหรับทุกรายการ แต่ข้อมูลนั้นไม่ได้เก็บไว้ในฐานข้อมูล SRUM - เป็นเพียงคุณสมบัติของไฟล์ที่เรียกทำงานได้เท่านั้น ทฤษฎีก็คือว่าถ้าที่ Task Manager ไม่สามารถหา exe ของโปรแกรมก็ก้อนสถิติเข้าสู่กระบวนการถอนการติดตั้ง เราสามารถตรวจสอบทฤษฎีที่ใช้วิทยาศาสตร์ ! ดาวน์โหลดโปรแกรมพกพาที่คุณชื่นชอบซึ่งใช้ทรัพยากรระบบจำนวนมาก (เช่นProcmonซึ่งใช้เวลา CPU สักครู่ถ้าคุณปล่อยให้มันรันโดยไม่มีการกรองสักหน่อย) บันทึกรายการในบัญชีตัวจัดการงาน ตอนนี้ให้ปิดและลบ / ย้ายโปรแกรมทดสอบและเปิดตัวจัดการงานอีกครั้ง ทรัพยากรที่ใช้ถูกเพิ่มลงในรายการกระบวนการที่ถอนการติดตั้ง

โปรดทราบว่าตัวจัดการงานอาจพิจารณาว่าโปรแกรม "ถอนการติดตั้ง" หากไม่สามารถใช้งานโปรแกรมได้ไม่ว่าด้วยเหตุผลใด ๆ ในกรณีดังกล่าวโปรแกรมที่รับผิดชอบกิจกรรมจะอยู่ในไดเรกทอรีระบบที่ไม่สามารถเข้าถึงได้แม้กับผู้ดูแลระบบ (โดยค่าเริ่มต้น) คุณอาจได้รับข้อมูลเพิ่มเติมเกี่ยวกับProcess Explorer

ดังนั้นการใช้งานเครือข่ายจะกระทำโดยโปรแกรมที่ไม่สามารถหาได้ในเวลาที่คุณเรียกใช้ตัวจัดการงาน นี่เกือบจะเกิดจากแอปพลิเคชันเดสก์ท็อปที่ทิ้งหรือแยก EXE อื่น (เช่นโปรแกรมตรวจสอบการอัปเดต) เรียกใช้ EXE นั้นแล้วลบออกหลังจากออก ที่จะคิดออกว่าสิ่งที่ทำมันคุณอาจจะพยายามที่จะแยกฐานข้อมูล SRUM โดยตรง (ตามที่อธิบายไว้ในงานนำเสนอ) ให้ใช้ Procmon ของความสามารถในการเข้าสู่ระบบบูตหรือลองปิดการใช้งานบางส่วนของรถยนต์ของคุณเริ่มต้นการใช้งานกับAutoruns

เบ็นเอ็น
แหล่งที่มา
@harrymc โปรแกรมมีอยู่ครั้งเดียวทำกิจกรรมบางอย่าง (ซึ่งถูกบันทึกไว้ภายใต้เส้นทางของโปรแกรม) ออกแล้วจึงถูกลบออก กิจกรรมถูกย้ายไปยังรายการกระบวนการที่ถอนการติดตั้ง
เบ็น N
@harrymc ตามข้อความในแท็บตัวจัดการ "ประวัติการใช้งานแอป" มันแสดงการใช้ทรัพยากรตั้งแต่วันที่ปัจจุบัน "สำหรับผู้ใช้ปัจจุบันและบัญชีระบบ" ฉันแนะนำให้ใช้การบันทึกการบูตไม่ใช่เพราะตัวจัดการงานแสดงสิ่งที่เกิดขึ้นในระหว่างการบูต แต่เนื่องจากคุณสมบัติ Procmon สามารถจับภาพสิ่งที่เกิดขึ้นก่อนที่ผู้ใช้จะเข้าสู่ระบบ (ซึ่งเป็นเมื่อไฟล์มีอยู่)
เบ็น N
ความเป็นไปได้อีกอย่างก็คือซอฟต์แวร์รุ่นเก่าซอฟต์แวร์ที่เขียนไม่ดีซอฟต์แวร์ที่ได้รับการแก้ไขไม่ถูกต้องหรือแม้แต่มัลแวร์ที่ไม่สามารถระบุตัวเองในรีจิสทรีได้เนื่องจากซอฟต์แวร์ Windows ที่ดีควรทำ
Xalorous
ขอบคุณ @BenN แม้ว่าฉันจะไม่สามารถระบุจุดเริ่มต้นของกระบวนการเหล่านี้ได้อย่างชัดเจน แต่ทฤษฎีของคุณก็สมเหตุสมผลดี ฉันสังเกตเห็นว่าองค์ประกอบ "บริการอัพโหลด / ดาวน์โหลด Windows" เป็นหนึ่งในผู้ใช้ที่มีการใช้งานมากที่สุดในเครือข่ายในช่วงเวลานี้ (ต่อคอลัมน์ "เครือข่าย" สดในแท็บ "กระบวนการ") แต่ไม่ปรากฏใน "แอป" แท็บประวัติ "ที่ใดก็ได้ (การละเว้นชัดเจนเท่านั้น) ดังนั้นผู้ชายคนนั้นอาจเป็นผู้ร้าย
BeeOnRope
ยินดีด้วย. คำตอบของคุณดีพอที่จะเลือกเป็นที่เห็นได้ชัดคำตอบ LQ ปลอมสำหรับการตรวจสอบ: superuser.com/review/low-quality-posts/564589 (BTW ฉันเข้าใจถูกต้อง) ;-)
fixer1234
0

กระบวนการเหล่านี้เป็นหนึ่งในปริศนาที่ยิ่งใหญ่ของ Windows และไม่มีการบันทึกไว้ทั้งหมด นี่เป็นการเปิดประตูสู่การเก็งกำไร สำหรับฉันแล้ว Rhymes ที่ไม่มีเอกสารพร้อมด้วยชิ้นส่วนของ Windows 10 ที่ Microsoft ไม่ชอบพูดถึง

หนึ่งคำจำกัดความของกระบวนการเหล่านี้สามารถพบได้ในการนำเสนอ นิตินิติวิทยาศาสตร์ SRUM นิติวิทยาศาสตร์ที่ช่วยอธิบายพวกเขาเป็น:

'กระบวนการที่ถอนการติดตั้ง' เป็นโปรแกรมทั้งหมดที่ไม่ได้อยู่ในดิสก์อีกต่อไป (ในตำแหน่งดั้งเดิม)

เนื่องจากโปรแกรมที่ไม่ได้อยู่บนดิสก์ยังไม่เป็นความสามารถในการมีกิจกรรมของเครือข่ายมันยืนเพื่อเหตุผลที่ว่ากิจกรรมเครือข่ายนี้เป็นเรื่องเกี่ยวกับมากกว่าโดยกระบวนการถอนการติดตั้งเหล่านี้และนิติบุคคลเท่านั้นไวต่อการทำที่เป็น Windows หรือหนึ่งใน ส่วนประกอบซึ่งเป็นหัวหน้ามาตรวัดระยะไกลเป็นที่รู้จักกันดีว่าเป็นเอกสารที่ไม่ดีและมีการบุกรุกความเป็นส่วนตัว

บทความความลับของ telemetry ของ Windows 10กำหนด telemetry:

Microsoft กำหนด telemetry เป็น "ข้อมูลระบบที่อัปโหลดโดย Connected User Experience และคอมโพเนนต์ Telemetry" หรือที่รู้จักในชื่อ Universal Telemetry Client หรือบริการ UTC (เพิ่มเติมในเร็ว ๆ นี้)

Microsoft ใช้ข้อมูล telemetry จาก Windows 10 เพื่อระบุปัญหาด้านความปลอดภัยและความน่าเชื่อถือในการวิเคราะห์และแก้ไขปัญหาซอฟต์แวร์เพื่อช่วยปรับปรุงคุณภาพของ Windows และบริการที่เกี่ยวข้องรวมถึงการตัดสินใจออกแบบสำหรับรุ่นอนาคต

ทฤษฎีของฉันคือ Windows พยายามสื่อสารกับเซิร์ฟเวอร์ระบบตรวจสอบความลับของตัวตนของกระบวนการที่ถอนการติดตั้ง หรือบางที Windows Defender (ตอนนี้เป็นส่วนที่ไม่สามารถแตกได้ของ Windows) พยายามสื่อสารข้อมูลเกี่ยวกับกระบวนการเหล่านี้

ลองปิดการใช้งานทุกอย่างภายใต้การตั้งค่า -> อัปเดตและความปลอดภัย -> Windows Defenderและรีบูตสองครั้งเพื่อดูว่าสิ่งนี้จะหายไปหรือไม่ อย่างไรก็ตาม Windows 10 นั้นเป็นที่รู้จักกันดีในเรื่องระบบวัดระยะไกลที่ไม่สามารถหยุดยั้งได้ทั้งหมด

หากวิธีนี้ไม่ได้ผลให้ลองใช้ผลิตภัณฑ์เช่นTCPView เพื่อค้นหาที่อยู่ IP ของเซิร์ฟเวอร์ที่ใช้การสื่อสารนี้ ฉันคิดว่าที่นี่กิจกรรมเครือข่ายมีต่ออินเทอร์เน็ตทดสอบได้อย่างง่ายดายโดยการบูตโดยไม่ต้องเชื่อมต่ออินเทอร์เน็ต ตัวจัดการงานอาจปกปิดข้อมูลประจำตัวของกระบวนการนั้นภายใต้ชื่อ "กระบวนการที่ถอนการติดตั้ง" แต่บางทีExplorerอาจบอกความจริง

เมื่อคุณทราบที่อยู่ IP ของเซิร์ฟเวอร์คุณสามารถใช้บริการ whois เช่นIP WHOIS Lookupเพื่อระบุเจ้าของเว็บไซต์

harrymc
แหล่งที่มา
ผู้ลงคะแนนลึกลับ - ระบุตนเองและอธิบาย
harrymc
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.