去年买了个电脑想搞搞设计和计算
结果今儿发现有个奇怪的文件夹:
C:\Program Files (x86)\Common Files\Microsoft Shared\TigerKin
被加入到path里面,干啥的不知道。但是很难删除。
首先windows里的tasklist里没有TigerKin.exe,看不到,不知道怎么做的隐藏,必须在powershell里用Get-Process才能看到,而且Kill-Process也杀不掉这个进程,必须用ntsd 这样除了system之类的进程杀不死,其他都能杀的大杀器才可以。
然后清理注册表,把TigerKin关键字的项都删除了一下,发现有个。
计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\State\UserSettings\S-1-5-21-2406200979-3772149622-2753763906-1002下面的关于TigerKin这个目录的项目是删除不掉的。
这个bam(= Background Activity Moderator)是windows 10里奇怪的东西,没看懂是干啥的,但是应该是微软的东西,而不是宁美国度的东西。
而且在删除TigerKin.exe后,还有PPHelper64.sys, PPSDK32.dll, PPSDK64.dll, xmsec64.sys几个文件有问题,删除不了。
用tasklist /m列出所有进程调用的dll文件,没找到这两个货。
其中PPSDK32.dll和PPSDK64.dll是被system打开的,用sysinternals工具箱中的handle64.exe进行查询,确实可以看到system进程打开了这两个dll,但是system这个进程是不能被杀掉的,所以还没找到怎么清除这两个dll。
另外PPHelper64.sys和xmsec64.sys还没看出来是在哪里被打开的。
突然觉得宁美国度这个技术人员还是挺屌的,居然能把文件隐藏这么深 。
希望有大神可以告诉我他们到底用了什么技术做隐藏?
