[求助]System进程发生的行为溯源-编程技术-看雪-安全社区|安全招聘|kanxue.com

能坚持下去吗

2018-11-6 10:28

2424

求问各位大佬，System进程发生的行为（读写文件等），有没有办法知道是哪个exe或者驱动之类的发起的？

收藏・0

免费・0

支持

最新回复 (1)
IaaIe 雪币： 93 活跃值： (365) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 1 关注私信	IaaIe 2 楼从读写文件往上回溯会经过很多模块，缓存管理器、延迟写线程等触发的磁盘写操作，从这儿你看到的进程主体都是system进程。因为正常情况下，其他的进程或者驱动是不会直接写磁盘的，都是跟缓存管理器在交互，由缓存管理器再把数据真正的写入扇区。大体是这个流程。 2018-11-6 21:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

能坚持下去吗

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
IaaIe 雪币： 93 活跃值： (365) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 1 关注私信	IaaIe 2 楼从读写文件往上回溯会经过很多模块，缓存管理器、延迟写线程等触发的磁盘写操作，从这儿你看到的进程主体都是system进程。因为正常情况下，其他的进程或者驱动是不会直接写磁盘的，都是跟缓存管理器在交互，由缓存管理器再把数据真正的写入扇区。大体是这个流程。 2018-11-6 21:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复