本帖最后由 zhoubao 于 2017-8-17 17:11 编辑
首先说明,这篇帖子只做引导,提供技术排查的思路,具体是有什么问题,请大家自己思考。本人不想得罪领航,但也不想受领航的这个气。
问题现象:昨天在客户机上杀毒,结果发现报毒了,领航的程序报毒以前是没有过的,同时在windows目录下面还有一个随机名称的目录报毒,里面都是些随机名称的程序(每次看到这样的目录,就想起绿茶的包)。
问题排查:首先想到服务器中毒了,彻底折腾了一番后还是一样的。然后就重新搞了个最简单纯净的环境,发现还是一样的结果,确定了领航本身的程序会报毒了。那么windows目录下还有个随机名称的隐藏目录,又是什么情况呢?
对比测试,发现没领航的环境是没有的,运行了领航就出来了,这里初步确定了是领航下发的了。进一步确认的话还是需要证据的,没有领航的环境先开好PM
,接着运行领航的客户端更新程序,那个隐藏目录果然生成了,停止PM捕获事件,直接搜那个隐藏目录的名称,发现是领航的目录下面的gg.dat生成的,gg.dat也是领航自己的程序生成的。后面反复抓了几次信息,发现每次windows目录下面的隐藏目录里的内容都不一样,而且有的是h1.dat(也是领航生成的)生成的,有的是gg.dat生成的。至此可以确定是领航下发的程序了。
接下来找领航沟通,领航给了答复是他们的程序,至于作用嘛,大家可以自己去咨询领航。
这篇帖子不想贴截图,只是告诉大家领航有这么个程序,如果发现客户机有什么异常然后又正好排查到这上头了,大家可以少走点弯路。
最后再说一点,不能帮别人背锅。
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
