快速找出客户机进程、窗口广告源头(使用维护大师进程树)

维护大师窗口查看猎手v1.6.rar

有用户联系到我截图如下,问如何找到是谁下发的这个广告(图中红框的位置),我们经常看到有人在维护大师的群里问类似的问题,本着分享精神,就把方法分享出来。注意:本文只是展示一种方法,不涉及对任何计费软件的诋毁、攻击行为或言论。

 

很多新手朋友遇到这个可能一脸懵逼。要不就是用排除法,把第三方软件比如营销活动、计费软件挨个去掉测试。这里我们来学习一下更加简单快速的方法。根据 Windows 系统基本知识,我们假设这些红框内的按钮是属于一个第三方程序创建的类似按钮一样的窗体,附加到了LOL客户端上,所以我们可以按照如下方法开始查。


1、我们先用任意一款窗口工具来查看上图红框内的按钮是属于哪个进程。
我这里使用的是维护大师窗口猎手。下载传送门:点我下载

当然你也可以使用微软的 Pocess Explorer 这个好工具.
我们使用维护大师窗口猎手的标记功能,用鼠标单击这个瞄准器图标不松手:  ,把瞄准器拖放到上图(图一)中红框内的按钮上再松手,这个时候我们会发现维护大师窗口猎手上出现如下信息:

 

 

 

这里我多说一句,有人说点击了瞄准器按钮之后,某些窗体会消失掉,今天我把窗口猎手更新到了1.4版,现在支持按组合键 WIN+C 直接捕获当前鼠标处的窗体信息,而不需要点瞄准器,以免那些窗体会消失。

们记住进程ID是4716,进程路径是“C:\Windows\SysWOW64\ipvcf.exe”,说明图一中的几个LOL上的广告按钮图标就是属于这个进程的。
2、我们来找下这个广告进程是谁下发的。
我选择使用维护大师自带的进程树功能,因为这个功能使用起来非常方便,是定位进程的神器,进程关系清晰完整,还能防止伪造父进程,一旦拥有,别无所求。值得注意的是,只有挂盘安装的维护大师客户端才能正常使用这个功能。
我们在安装了维护大师的服务器上打开维护大师控制台,找到客户机列表,我们现在使用的是 K-035 这个机器,右击 K-035 这个机器,选择“查看进程树”:

 

 

等待进程树加载完成,可以看到如下信息:

 

 

我们按下“Ctrl+F”来搜索进程ID:4716。在图四中,我们可以清晰的看到进程ID为4716的这个进程的所有父进程关系,很明显这个进程是由一个叫“svchost.exe *32”的进程创建的,而他们最开始都是由一个叫“yeba**lient.exe”的进程启动的,为防止不必要的麻烦,图中进程名称已打码。
Winlogon.exe是系统进程,它启动了“yeba**lient.exe”,这个动作是正常的,因为“yeba**lient.exe”是一款计费软件客户端,我们在超管下安装计费时被写入了启动项,否则客户机开机是不会进入到计费界面的。
那么这个问题基本上可以下结论,该LOL客户端上的广告是这款计费软件下发的。
实际上 Windows 系统上存在着各种远程注入DLL或代码执行的行为,以及傀儡进程行为,在当下网吧系统环境无比复杂的场景下,单纯根据进程关系来判断问题,并不是100%准确,所以以上结论仅仅可以作为参考,排查方法也很简单,适合一般情况下使用。

 

Q:如果父进程生成之后自动结束,再怎么查找上一级进程?
A:这个问题问的非常好。维护大师进程树是记录所有的进程,包括已经退出的进程,所以进程结构是完整清晰的,不用担心找不到父进程,这点是和Process Explorer 或其他进程管理工具明显不同的。这里还是强调一点,维护大师客户端需要挂盘安装,这样显示的信息才是完整的。

 

赞(0) 打赏
转载请注明出处:EasySupport | 易速 » 快速找出客户机进程、窗口广告源头(使用维护大师进程树)
分享到: 更多 (0)

评论 抢沙发

评论前必须登录!

 



觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏