登录 用户中心() [退出] 后台管理 注册
   
您的位置: 首页 >> NEWBT独播软件超市 >> 主题: [windows][ntoskrnl.exe]老兵新篇 -- Process Explorer 与任务管理器     [回主站]     [分站链接]
标题
[windows][ntoskrnl.exe]老兵新篇 -- Process Explorer 与任务管理器
clq
浏览(545) + 2022-08-30 19:02:02 发表 编辑

关键字:

[2023-11-01 13:40:02 最后更新]
[windows][ntoskrnl.exe]老兵新篇 -- Process Explorer 与任务管理器


另外注意看一下此贴 “[windows][ntoskrnl.exe]如果 cpu 占用过高,请检查一下 任务计划程序”

http://newbt.net/ms/vdisk/show_bbs.php?id=4F6C355A4120B19B430B4107AA4B291F&pid=160

--------------------------------------------------------

一看这界面,就知道它是上个世纪的产物。我也很久没有用了,渐渐的只看 windows 自带的任务管理器。
因为太信任任务管理器,这甚至阻碍了我使用 linux 的进程 -- 我一度觉得没有任务管理器的 linux 难以让一个普通用户发觉危险。当然我实际使用 ubuntu 后知道了 linux 也自带有一个,而且还有 top 命令这些。
不过我对 linux 还没了解到足够,不知道是否有进程能躲开这种检测。

但大概在 3 年前,我发现自己的电脑会莫名的狂扫硬盘。我试过了网上无数的方法,倒是优化得系统内存占用减少了很多,服务少开了很多。但这个狂扫硬盘的行为始终象幽灵一样存在,而且都是在夜深人静的时候出现。
当你发现它狂扫硬盘时想操作一下电脑,会发现它停止了!

这个捉迷藏行为终于有一天被我想办法在任务管理器中看到了,是名为 system 的进程,打开后文件名为 ntoskrnl.exe 。于是就在想怎么干掉它。

查询资料后知道这是系统的文件,实际上它只是调用了其他的模块,所以这样还是没法找到原始的源头。我知道是有工具可以看到完整命令行的,但觉得网上都查遍了也没解决,估计是微软在暗中上传文件吧。真的,不是说因为
认为 windows 10 不安全国家不再采购吗?所以我很长时间来一直觉得是微软在背地里上传用户文件,估计是解决不了了的,由它吧,反正俺小百姓也没啥秘密。

但有一天我的硬盘终于在倒下了,我知道在这么热的天气里还被狂扫这是迟早的事。于是我换了一个很贵的硬盘,这时候我真的舍不得,所以这次我必须找到它是谁!
可惜,努力了两天后还是败下阵来。沮丧之作无意看到我早就有的 Process Explorer ,心想看看吧,也没抱什么希望。

要说的是原始文件是英文的,为了仔细看清各个参数强烈推荐大家找汉化版本,我们也会提供一个(虽然有点老,但确有用)。这里的关键是要在显示列中选择 “磁盘总增量字节”,并在这个列上点击击,让列表从数据最大的开始排列。
这样当硬盘再空闲时莫名狂扫时它就会出现在第一个!

当然这是我折腾了好久才找到的方法。终于它被抓到了,在 ntoskrnl.exe 之后有长长的命令行参数,根据其中的 defragsvc 参数我查到了这个是系统自带的磁盘整理程序。于是打开了 “碎片整理和优化驱动器”这个程序 --
它的命令行的 %windir%\system32\dfrgui.exe ,看到原来它的默认参数是每周整理一次,而且是在空闲时自动扫描整理,那为什么每天都狂扫呢,我想大概是我的硬盘太大了,它一周都扫不完,于是就每天都在辛勤地工作...
终于把我的硬盘扫坏了。调整参数后终于不再有狂扫硬盘的情况了。

后记:还是有几个未解的问题。一是仍然有个 100k 左右的硬盘活动存在,这实在没找到它,而且是在任务管理器中有,而 Process Explorer 中则是 0 ! 所以微软恐怕确实有问题?
再就是,我其实已经按网上的方法使用各种手段禁止掉了系统的任务。那么这个碎片扫描的任务是谁启动的呢? 这留给微软回答吧。

所以安全敏感的地方还是上 linux 吧,我从业中看到很多zf,甚至军d中都还在用着 windows ,只是自欺欺人的装有一些内部委托开发的安全软件,这真的很荒唐。估计这些卖安全软件的人费了不少心吧。

----------------------------------------------------------------
这个软件其实并不是野路子,甚至可以说是半官方的,因为微软曾经收购过它。不过现在似乎又不属于微软了。总之这次让我们看到了 windows 自带的任务管理器没那么可靠。

原始地址在
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer



[图片]
含有高速下载地址,但您没有文件高速下载权限。请先开通1元包年会员:
了解/开通会员

总数:0 页次:1/0 首页 尾页  
总数:0 页次:1/0 首页 尾页  


所在合集/目录
操作系统内存占用高 更多



发表评论:
文本/html模式切换 插入图片 文本/html模式切换


附件:



NEWBT官方QQ群1: 276678893
可求档连环画,漫画;询问文本处理大师等软件使用技巧;求档softhub软件下载及使用技巧.
但不可"开车",严禁国家敏感话题,不可求档涉及版权的文档软件.
验证问题说明申请入群原因即可.

Copyright © 2005-2020 clq, All Rights Reserved
版权所有
桂ICP备15002303号-1