那天上午,当我像往常一样使用截图工具时,突然发现聚焦框死死锁定在屏幕右下角——这里明明空无一物!众所周知,一般的截图工具都是会自动聚焦选中窗口的,尝试右键点击却无法选中,一个透明窗口正在我的系统里"隐形"运行...
1️⃣ 怀疑是某个应用程序卡了,留下一个未响应窗口。从任务栏退出了几乎所有程序程序,只保留了微信和钉钉,发现依然还在。
2️⃣ 重启大法。由于是个人电脑,保存了工作环境之后,直接重启
🔍 这种情况下,重启是定位问题的最便捷的方式。因为重启之后,如果消失,至少可以做到最短时间内中止危害;如果未消失,那么必然是存在开启启动项或者自启服务。
🔧 但是在重启时,发生了一个小插曲。有一个空白名且空白图标的异常程序,阻止我重启。这更加坚定了我觉得这是个恶意程序的猜想。
3️⃣ 果断点击“仍要重启”。重启之后,右下角窗口不见了,松了一口气,过了五分钟,依然没出现。既然如此,那便有空再排查,毕竟工作还要继续,于是继续登录“微信”、“钉钉”、“语雀”,开始工作,但也没有敢启动其他非工作必须的程序。
🔧 是捆绑启动,伴随着某个应用程序启动了(如“微信”、“钉钉”、“语雀”等)
由于此时,我电脑上的应用程序只启动了“微信”、“钉钉”、“语雀”、“Chrome” 几个,对于前面几个,我还是比较信任的,所以,我开始怀疑 Chrome 是否有哪个插件有问题。
看了一眼 `tasklist` 列表,条目太多了,一个一个看太麻烦了。
1️⃣ 再重启一次,这次重启之后,趁着“未知窗口”还未出现,先启动 cmd 打印一次 tasklist
2️⃣ 然后,每过 2 分钟左右,打印一次 tasklist,就蹲它出现
3️⃣ 半小时过去了,一点动静都没有,开始逐渐失去耐心,正常登录“微信”开始工作,时不时的和“饭搭子”们也聊聊天
直到第二天一大早上班,才想起来,一看,TMD 又来了
还好,昨天电脑没关机,最开始的 tasklist 列表还在,只是后来偷懒了,没有写脚本定时去执行,这时间也过了一晚上,虽然进程变动可能没那么精确,但应该也不难
1️⃣ cmd 再次打印 tasklist,python 安装 filetools 库,直接比对当前 tasklist 与昨天最后一次 tasklist 的区别
from filediff.diff import file_diff_comparefile_diff_compare('1.txt', '2.txt', diff_out='diff_result.html', max_width=70, numlines=0, show_all=False, no_browser=False)
4. smartscreen:Defender 的筛选器
由于昨天怀疑了 Chrome 的插件,后来我甚至都压根没有启动 Chrome,而这 6 个进程,似乎并没有什么问题
💡 难道是一直最信任的“微信”、“钉钉”、“语雀”携带的?
语雀还要用来记录过程,所以先尝试“微信”和“钉钉”
退出“微信”和“钉钉”之后,发现,没了,果然有猫腻
登录“钉钉” ..... ..... ..... .....
第二天,又出现了,基本可以推断确实是“钉钉”的内置应用,因为退出“钉钉”时,这个透明窗口会立马消失
但是依然无法定位到具体是什么进程,也不知道是什么条件触发启动的,因为它并不是随着“钉钉”的启动而立即启动,而是存在某个延迟加载或者触发条件。
当然,有一次退出“钉钉”并立刻尝试截图透明窗口时,透明窗口发生了未响应,有一个进程名一闪而过,但情况紧急没有截到图
不过既然是“钉钉”的捆绑应用,而“钉钉”又是官方途径安装的,所以应该不会存在什么风险,此事也就暂时告一段落
🛡️ 安全启示录
1️⃣ 定期检查启动项:Win+R输入shell:startup
2️⃣ 善用进程对比:tasklist > 1.txt && tasklist > 2.txt
3️⃣ 警惕"套娃程序":办公软件也可能是入口
4️⃣ 可疑现象处理口诀:
截图留证 → 进程排查 → 隔离测试 → 彻底卸载
原文始发于微信公众号(网安小趴菜):【离奇事件】我的电脑右下角惊现透明幽灵窗口!一场持续72小时的应急排查
评论