第27章 对抗幻术防火墙（第3页）

不对！

自己又中了幻术，是什么时候？这个幻术又是什么作用？

他又是怎么知道自己脱离了前两个幻术！

？

弘树立刻切换到进程的详细信息页面，按CPU使用率重新排序。

虽然没有明显的“之术”

进程，但他敏锐地发现了异常——几个本应正常的系统进程正在消耗着不该有的资源。

vchot.exe，CPU占用28%。

这个数值让弘树皱起了眉头。

vchot.exe是&bp;Wdow系统的核心进程文件，完整名称是&bp;Servce&bp;Hot&bp;Proce&bp;（服务宿主进程）作用是承载多个Wdow系统服务。

他右键点击这个进程，选择“打开文件所在位置”

。

当文件资源管理器窗口弹出时，显示的路径让他心中一凛：C:WdowTempvchot.exe

这个位置不对！

“这不对！

真正的vchot.exe应该在Stem32目录下！”

弘树虽然不记得自己的这个金手指里有Stem32，但他隐约记得，自己的系统是没有32位和64位的区别，对应的名称叫Stem（>^ω^^ω^进程快照.tmp

::逐个检查列表中的系统进程

为%%进程名在（%系统进程列表%）做（

查找字符串“%%进程名“进程快照.tmp&bp;|查找字符串V“%合法路径%“>伪装进程.tmp

如果文件存在伪装进程.tmp&bp;（

::从伪装进程文件中提取进程D并结束它

为F“令牌=2“%%进程D在（伪装进程.tmp）做（

任务管理器强制结束进程D&bp;%%进程D

记录日志“检测到恶意伪装并已清除：%%进程名“

）

）

）

::内存保护模式

:监控内存

如果检测到外部写入（视觉缓存）（

如果来源不等于“弘树_本体系统“（

拦截写入操作

记录日志“阻止非法内存写入：视觉缓存区域“

）

）

如果检测到外部写入（听觉缓存）（

本章未完，点击下一页继续阅读