每次打开计算机时，都会使用网络进行神秘的“卸载过程”

我正在使用双引导Windows 10 / Ubuntu笔记本电脑旅行，经常无法使用WiFi。当我进入Windows的一面（或者在睡眠一会后甚至从睡眠中醒来）时，我经常会遇到一段时间的网络性能差于预期的情况。

打开任务管理器，通过“应用程序历史记录”，我看到醒来后通常会在几分钟内将“卸载的进程”挂在网络上。我所说的“ peg”表示他们的网络使用量与我尝试打开的任何其他可以持续下载的内容同步增长。通常它会在几分钟后安静下来，但是在它处于活动状态时却非常烦人。拴在手机上会更糟，因为那之后我要为此活动支付实际费用。

这是唤醒并使用“删除使用历史记录”将所有计数器归零后的“应用程序历史记录”列表的典型截图：

这是在“卸载的进程”停止使用网络之后的一段时间，但是最初在唤醒之后，它被绑定到使用进程的最高网络。

这是一个新盒子，我可能已经卸载了十几个东西，但是最近都没有，而且自上次重新安装以来已经进行了大量重新启动。

我非常渴望获得有关如何跟踪此恶意程序的任何提示。

正如harrymc在评论中链接的取证演示中所提到的，“已卸载的进程”条目是其磁盘上的可执行文件不再存在的进程的统计信息总和。如演示文稿的幻灯片17所示，Windows系统资源使用监视器通过程序的完整对象管理器名称（对于桌面应用程序），服务名称（对于服务）或Windows应用商店ID标识程序。 。

任务管理器尝试显示每个条目的应用程序标题，但该信息未存储在SRUM数据库中-仅存在于可执行文件的属性中。从理论上讲，如果任务管理器找不到程序的EXE，则会将统计信息汇总到“已卸载的进程”中。我们可以用科学来验证那个理论！下载您喜欢的可移植程序，该程序使用大量系统资源（例如Procmon，如果您让它未经过滤运行一会儿会花费一些CPU时间）。注意它在任务管理器会计中的条目。现在关闭并删除/移动测试程序，然后重新打开任务管理器。所使用的资源已添加到“已卸载的进程”条目中。

请注意，如果由于任何原因（不仅仅是由于某种原因）无法访问其可执行文件，任务管理器都可能将其视为“未安装”程序。在这种情况下，负责该活动的程序将驻留在系统目录中，即使管理员也无法访问（默认情况下）。您可以使用Process Explorer获得更多信息。

因此，网络使用状况是由运行任务管理器时找不到的程序完成的。几乎可以肯定这是由桌面应用程序引起的，该桌面应用程序转储或提取另一个EXE（例如，更新检查程序），运行该EXE，然后在退出后将其删除。为了弄清楚它在做什么，您可以尝试直接解析SRUM数据库（如本演示所述），使用Procmon的启动日志功能，或者尝试使用Autoruns禁用某些自动启动应用程序。

这些过程是Windows的最大谜团之一，并未全部记录下来。这为投机打开了大门。对我而言，Microsoft不喜欢谈论的Windows 10部分中没有记载的押韵。

在此取证演示文稿SRUM取证中可以找到这些过程的一种定义， 该解释无益地解释为：

“卸载的进程”是所有程序都不再位于磁盘上（位于其原始位置）

由于一个程序，不再在磁盘上也不再能够为网络活动的，按理说，这个网络活动有关，而不是由这些卸载过程，并且容易这样做的唯一实体是Windows或之一其组件，主要是遥测技术，以记录不良和侵犯隐私而著称。

这篇文章的Windows 10遥测秘密定义遥测：

Microsoft将遥测定义为“由连接的用户体验和遥测组件上载的系统数据”，也称为通用遥测客户端或UTC服务。（稍后会详细介绍。）

Microsoft使用Windows 10中的遥测数据来识别安全性和可靠性问题，分析和修复软件问题，帮助提高Windows和相关服务的质量，并为将来的版本做出设计决策。

我的理论是，这是Windows试图与其秘密的遥测服务器通信已卸载进程的标识。或者也许是Windows Defender（现在是Windows的牢不可破的一部分）试图传达有关这些进程的信息。

尝试禁用设置->更新和安全-> Windows Defender下的所有内容，然后重启两次以查看是否消失。但是，Windows 10以遥测闻名，无法完全停止。

如果这样做没有帮助，请尝试使用TCPView之类的产品 来查找完成此通信的服务器的IP地址。我在这里假设网络活动是针对Internet的，可以通过在没有Internet连接的情况下进行引导来轻松测试。任务管理器可能会以“卸载的进程”的名称来掩盖该进程的身份，但也许进程浏览器会说实话。

知道服务器的IP地址后，就可以使用Whois服务（例如IP WHOIS查找）来识别网站的所有者。