我这边现在有十几分钟没弹svhost尝试恢复lastalive.dat了。然后也查了下毒,他应该还是没直接地写木马啥的。
看拦截日志,尝试恢复是这样调用的:操作进程命令行:C:\WINDOWS\System32\svchost.exe -k LocalServiceNetworkRestricted -p -s EventLog
看起来像是利用(滥用)了windows的机制实现的他的死亡笔记。 不知道有没有懂windows原理的能指点迷津。
看拦截日志,尝试恢复是这样调用的:操作进程命令行:C:\WINDOWS\System32\svchost.exe -k LocalServiceNetworkRestricted -p -s EventLog
看起来像是利用(滥用)了windows的机制实现的他的死亡笔记。 不知道有没有懂windows原理的能指点迷津。














