59、系统故障排查与行为解析案例集

系统故障排查与行为解析案例集

在当今数字化的时代，计算机系统面临着各种各样的问题，从恶意软件感染到神秘的系统行为，这些问题给我们的工作和生活带来了诸多困扰。下面将通过几个实际案例，详细介绍如何运用相关工具来解决系统故障和解释系统行为。

阻止 Sysinternals 工具运行的恶意软件案例

一位用户的朋友认为其系统感染了恶意软件，因为系统启动和登录时间很长，且使用 Microsoft Security Essentials 进行恶意软件扫描时无法完成。用户首先在任务管理器中查找异常进程，但未发现明显异常。

接着，用户尝试使用 Sysinternals 套件中的 Autoruns、Procmon、Procexp 和 RootkitRevealer 工具，然而这些工具启动后立即退出。为了进一步验证，用户用记事本打开名为“Process Explorer”的文本文件，结果该文件也立即终止。此时，用户有足够理由相信系统已被感染，但不知如何确定原因，更不用说清除它了。

用户在浏览 Sysinternals 套件的其他工具时，注意到了 Desktops 实用程序。之前用记事本进行的实验表明，恶意软件可能在监控它不喜欢的程序的窗口标题。由于窗口枚举只返回与调用者在同一桌面的窗口，用户推测恶意软件作者可能没有考虑到程序在非默认桌面运行的可能性。果然，运行 Desktops 并切换到第二个桌面后，用户能够启动 Procmon 和其他工具。

随后，用户查看 Procexp，所有进程名看起来都正常，于是启用了“Verify Signers”选项和“Verified Signer”列，确认所有进程的主可执行映像文件似乎都有效。

接着运行 Pro