”进程，但他敏锐地发现了异常——几个本应正常的系统进程正在消耗着不该有的资源。

    svchost.exe，CPU占用28%。这个数值让弘树皱起了眉头。

    svchost.exe是 Windows系统的核心进程文件，完整名称是 Service Host Process (服务宿主进程)作用是承载多个Windows系统服务。

    他右键点击这个进程，选择“打开文件所在位置”。

    当文件资源管理器窗口弹出时，显示的路径让他心中一凛：C:\\Windows\\Temp\\svchost.exe

    这个位置不对！

    “这不对！真正的svchost.exe应该在System32目录下！”

    弘树虽然不记得自己的这个金手指里有System32，但他隐约记得，自己的系统是没有32位和64位的区别，对应的名称叫System(>^ω^^ω^进程快照.tmp

    ::逐个检查列表中的系统进程

    为%%进程名在(%系统进程列表%)做(

    查找字符串“%%进程名“进程快照.tmp |查找字符串\/V“%合法路径%“>伪装进程.tmp

    如果文件存在伪装进程.tmp (

    ::从伪装进程文件中提取进程ID并结束它

    为\/F“令牌=2“%%进程ID在(伪装进程.tmp)做(

    任务管理器\/强制结束\/进程ID %%进程ID

    记录日志“检测到恶意伪装并已清除：%%进程名“

    )

    )

    )

    ::内存保护模式

    :监控内存

    如果检测到外部写入(视觉缓存)(

    如果来源不等于“弘树_本体系统“(

    拦截写入操作

    记录日志“阻止非法内存写入：视觉缓存区域“

    )

    )

    如果检测到外部写入(听觉缓存)(

    如果来源不等于“弘树_本体系统“(

    拦截写入操作

    记录日志“阻止非法内存写入：听觉缓存区域“

    )

    )

    跳转到:扫描进程

    ——代码——

   &n

本章未完，请点击下一页继续阅读