Saya bepergian dengan laptop Windows 10 / Ubuntu dual-boot dan sering memiliki akses WiFi yang cukup terbatas. Ketika saya boot ke sisi Windows hal-hal (atau bahkan bangun dari tidur, setelah tidur sebentar), saya sering mengalami periode kinerja jaringan yang lebih buruk dari yang diharapkan.
Membuka task manager, saya melihat melalui "Riwayat Aplikasi" bahwa sesuatu yang disebut "Proses yang tidak diinstal" biasanya mematok jaringan selama beberapa menit setelah bangun. Maksudnya "pasak" maksud saya bahwa penggunaan jaringan mereka meningkat sejalan dengan hal lain yang saya buka yang mencoba mengunduh secara terus menerus. Biasanya diam setelah beberapa menit, tetapi sangat menjengkelkan saat aktif. Ini lebih buruk ketika ditambatkan ke ponsel saya, sejak itu saya membayar dolar nyata untuk kegiatan ini.
Berikut cuplikan khas dari daftar "Riwayat Aplikasi" setelah bangun dan menggunakan "Hapus riwayat penggunaan" untuk membuat semua penghitung menjadi nol:
Ini beberapa waktu setelah "proses dihapus" berhenti menggunakan jaringan, tetapi awalnya setelah bangun itu terikat untuk proses menggunakan jaringan tertinggi.
Ini adalah kotak baru, dan saya telah mencopot mungkin selusin hal di dalamnya, tetapi tidak ada yang baru-baru ini dan ada banyak reboot sejak instalasi ulang terakhir.
Saya cukup putus asa untuk tip tentang cara melacak proses nakal ini.
sumber
Delete usage history
tetapiUninstalled processes
Jaringan masih meningkat? Perangkat lunak antivirus apa yang Anda miliki? Saya memperkirakan bahwa beberapa proses salah dimasukkanUninstalled processes
.Jawaban:
Seperti yang disinggung dalam presentasi forensik yang ditautkan oleh harrymc dalam komentar, entri Proses yang tidak diinstal adalah jumlah statistik untuk proses yang file executable pada disk tidak lagi dapat ditemukan. Monitor Penggunaan Sumber Daya Sistem Windows, sebagaimana dibuktikan oleh slide 17 dari presentasi itu, mengidentifikasi program dengan nama penuh Manajer Objek mereka (dalam hal aplikasi desktop), nama layanan (dalam hal layanan), atau ID aplikasi Windows Store .
Manajer Tugas mencoba untuk menampilkan judul aplikasi untuk setiap entri, tetapi informasi itu tidak disimpan dalam database SRUM - itu hanya di properti yang dapat dieksekusi. Teorinya adalah bahwa jika Task Manager tidak dapat menemukan EXE program, itu menggumpalkan statistik ke dalam proses Uninstalled . Kita dapat memverifikasi teori itu menggunakan sains ! Unduh program portabel favorit Anda yang menggunakan banyak sumber daya sistem (mis. Procmon , yang membutuhkan waktu CPU jika Anda membiarkannya berjalan tanpa filter sedikit). Catat entri dalam akuntansi Task Manager. Sekarang tutup dan hapus / pindahkan program pengujian, dan buka kembali Task Manager. Sumber daya yang digunakan telah ditambahkan ke entri proses Uninstalled .
Perhatikan bahwa Pengelola Tugas mungkin menganggap program "dihapus" jika programnya tidak dapat diakses karena alasan apa pun, bukan hanya ketidakhadiran. Dalam hal ini, program yang bertanggung jawab atas aktivitas akan berada di direktori sistem yang tidak dapat diakses bahkan oleh administrator (secara default). Anda bisa mendapatkan informasi lebih lanjut tentang hal itu dengan Process Explorer .
Oleh karena itu, penggunaan jaringan dilakukan oleh program yang tidak dapat ditemukan pada saat Anda menjalankan Pengelola Tugas. Hal ini hampir pasti disebabkan oleh aplikasi desktop yang membuang atau mengekstrak EXE lain (misalnya program pemeriksa pembaruan), menjalankan EXE itu, dan kemudian menghapusnya setelah keluar. Untuk mengetahui apa yang melakukannya, Anda bisa mencoba mengurai database SRUM secara langsung (seperti yang dijelaskan dalam presentasi), menggunakan kemampuan boot logging Procmon , atau mencoba menonaktifkan beberapa aplikasi mulai otomatis dengan Autoruns .
sumber
Proses-proses ini adalah salah satu misteri besar Windows dan tidak didokumentasikan semuanya. Ini membuka pintu untuk spekulasi. Bagi saya, sajak tidak berdokumen dengan bagian Windows 10 yang tidak disukai oleh Microsoft.
Salah satu definisi dari proses ini dapat ditemukan dalam presentasi forensik ini SRUM forensik yang menjelaskan mereka sebagai:
Sejak program yang tidak lagi pada disk juga tidak lagi mampu memiliki aktivitas jaringan, ia berdiri untuk alasan bahwa aktivitas jaringan ini sekitar daripada oleh proses-proses dihapus, dan satu-satunya entitas rentan melakukan hal itu adalah Windows atau salah satu nya komponen, kepala yang adalah telemetri, dikenal karena didokumentasikan dengan buruk dan invasif privasi.
Artikel Windows 10 rahasia telemetri mendefinisikan telemetri:
Teori saya adalah bahwa ini adalah Windows yang mencoba berkomunikasi dengan server telemetri rahasia identitas proses yang dihapus. Atau mungkin Windows Defender (sekarang bagian yang tidak dapat dipecahkan dari Windows) mencoba mengkomunikasikan informasi tentang proses ini.
Cobalah untuk menonaktifkan semuanya di bawah Pengaturan -> Pembaruan & Keamanan -> Windows Defender , dan reboot dua kali untuk melihat apakah ini menghilang. Namun, Windows 10 dikenal untuk telemetri yang tidak dapat sepenuhnya dihentikan.
Jika ini tidak membantu, coba gunakan produk seperti TCPView untuk menemukan alamat IP server yang digunakan untuk komunikasi ini. Saya berasumsi di sini bahwa aktivitas jaringan mengarah ke Internet, dapat diuji dengan mudah dengan mem-boot tanpa konektivitas Internet. Task Manager dapat menutupi identitas proses tersebut dengan nama "Proses yang Tidak Diinstal", tetapi mungkin Process Explorer akan mengatakan yang sebenarnya.
Setelah Anda mengetahui alamat IP server, Anda dapat menggunakan layanan whois, seperti Pencarian IP WHOIS untuk mengidentifikasi pemilik situs web.
sumber