Таємничі "невстановлені процеси" за допомогою мережі щоразу, коли я включаю комп'ютер

Я подорожую зі своїм ноутбуком з подвійним завантаженням Windows 10 / Ubuntu і часто маю досить обмежений доступ до WiFi. Коли я завантажуюся з речей Windows (або навіть прокидаюся від сну, після сну), я часто переживаю період слабшого, ніж очікувалося, мережевої роботи.

Відкриваючи диспетчер завдань, через "Історію додатків" я бачу, що щось, що називається "Видалення процесів", як правило, прив'язує до мережі кілька хвилин після пробудження. Під "прив'язуванням" я маю на увазі, що використання їх мережі збільшується в режимі стоп-сигналу з будь-чим іншим, що я відкриваю, що намагається завантажувати постійно. Зазвичай він проходить тихо через кілька хвилин, але це дуже дратує, поки він активний. Це ще гірше, коли я прив’язаний до свого телефону, з тих пір я плачу реальні долари за цю діяльність.

Ось типовий знімок списку "Історія додатків" після пробудження та використання "Видалити історію використання", щоб привести всі лічильники до нуля:

Це проходить через деякий час після того, як "видалені процеси" перестали користуватися мережею, але спочатку після пробудження вона була прив'язана до найвищої мережі за допомогою процесу.

Це нова скринька, і я видалив, можливо, десяток речей на ній, але останнім часом жодного часу не було, і після останньої перевстановлення не було багато перезавантажень.

Я дуже відчайдушно бажаю будь-яку пораду щодо того, як простежити цей негідний процес.

Як уже згадувалося в презентації криміналістики, пов'язаної harrymc у коментарях, запис про видалення процесів - це сума статистики для процесів, виконуваних на диску диска більше не можна знайти. Монітор використання ресурсів Windows, як свідчить слайд 17 цієї презентації, ідентифікує програми за їхніми повними іменами диспетчера об'єктів (у разі настільних додатків), назвою служби (у випадку служб) або ідентифікатором програми Windows Store .

Диспетчер завдань намагається відобразити назву програми для кожного запису, але ця інформація не зберігається в базі даних SRUM - це лише у властивостях виконуваного файлу. Теорія полягає в тому, що якщо диспетчер завдань не зможе знайти EXE програми, він об'єднує статистику в процеси видалення . Ми можемо перевірити цю теорію, використовуючи науку ! Завантажте свою улюблену портативну програму, яка використовує багато одного системного ресурсу (наприклад, Procmon , який займає деякий час процесора, якщо ви дозволите йому трохи нефільтруватися). Відзначте його запис у бухгалтерському обліку диспетчера завдань. Тепер закрийте та видаліть / перемістіть програму тестування та заново відкрийте диспетчер завдань. Використовувані ресурси були додані до запису видалення процесів .

Зауважте, що диспетчер завдань може вважати програму "видаленою", якщо її виконуваний файл недоступний з будь-якої причини, а не лише відсутності. У цьому випадку програма, відповідальна за діяльність, перебуватиме в системному каталозі, недоступному навіть адміністраторам (за замовчуванням). Ви можете отримати більше інформації про нього за допомогою Провідника .

Тому використання мережі здійснюється програмою, яку неможливо знайти під час запуску диспетчера завдань. Це майже напевно викликано настільним додатком, який скидає або витягує інший EXE (наприклад, програма перевірки оновлень), запускає EXE, а потім видаляє його після його завершення. Щоб зрозуміти, що це робить, ви можете спробувати проаналізувати базу даних SRUM безпосередньо (як описано в презентації), скористатися можливістю реєстрації завантаження Procmon або спробувати відключити деякі програми автозапуску з Autoruns .

Ці процеси є однією з найважливіших таємниць Windows і не всі вони задокументовані. Це відкриває двері до спекуляцій. Для мене незадокументовані рими з частинами Windows 10, про які Microsoft не любить говорити.

Одне визначення цих процесів можна знайти в цій криміналістичній презентації криміналістики SRUM, яка ненароком пояснює їх як:

"Видалення процесів" - це всі програми, які більше не перебувають на диску (у своїх оригінальних місцях)

Оскільки програма , яка більше не на диску також більше не здатна мати мережеву активність, само собою зрозуміло , що ця мережева активність близько , а не з допомогою цих невстановлених процесів, і єдиний об'єкт чутливого робити це для Windows або один з його компоненти, головною з яких є телеметрія, відома тим, що погано задокументована та вторглася в конфіденційність.

У статті секрети телеметрії Windows 10 визначається телеметрія:

Microsoft визначає телеметрію як "системні дані, які завантажуються компонентом" Підключений досвід користувача та телеметрія ", також відомий як Універсальний клієнт телеметрії або послуга UTC. (Детальніше про це незабаром.)

Microsoft використовує дані телеметрії з Windows 10 для виявлення проблем безпеки та надійності, для аналізу та виправлення проблем із програмним забезпеченням, для покращення якості Windows та відповідних сервісів та для прийняття дизайнерських рішень для майбутніх версій.

Моя теорія полягає в тому, що це Windows, яка намагається донести до своїх таємних серверів телеметрії ідентичність видалених процесів. Або, можливо, Windows Defender (зараз нероздільна частина Windows) намагається передавати інформацію про ці процеси.

Спробуйте вимкнути все в розділі Налаштування -> Оновлення та безпека -> Захисник Windows і перезавантажте двічі, щоб побачити, чи не зникає це. Однак Windows 10 відома телеметрією, яку неможливо повністю зупинити.

Якщо це не допомагає, спробуйте скористатися таким продуктом, як TCPView, щоб знайти IP-адресу сервера, з яким здійснюється спілкування. Я припускаю, що мережева діяльність спрямована на Інтернет, легко перевірити, завантажившись без підключення до Інтернету. Диспетчер завдань може замаскувати особу цього процесу під назвою "Видалені процеси", але, можливо, Провідник процесів скаже правду.

Коли ви знаєте IP-адресу сервера, ви можете скористатися сервісом whois, таким як IP WHOIS Lookup, щоб визначити власника веб-сайту.