我的系统上有一个流氓进程,它产生了 CPU 密集型 WMIC.exe 进程。它们的寿命很短,我似乎无法在它们完成之前与它们进行交互,但我相信它们会导致很多系统不稳定。
按 CPU 使用率排序的资源监视器如下所示:
当然,那个活跃的 WMIC 进程在拍摄那张照片后立即死亡(它甚至需要几次尝试才能获得一张带有活跃 WMIC 进程的照片)。
我试图通过使用 Get-WmiObject 来捕捉它(有点讽刺):
Get-WmiObject Win32_Process -Filter "name LIKE '%wmic%'" | Select-Object Name,CommandLine,ParentProcess
我运行了该命令几百次,除了我刚刚运行的命令之外,从未设法捕获任何 WMIC 进程。
是否有一些日志或其他东西可以让我看到有关已完成流程的信息?或者有什么方法可以了解启动这些 WMIC.exe 进程的原因,或者他们在做什么?
正如 HelpingHand 在评论中建议的那样,我使用“Process Monitor”解决了这个问题。Process Monitor 记录进程启动,因此我过滤到名称为“WMIC”的进程和“Process Start”的操作。
这使得识别 WMIC.exe 进程的 ParentProcess 成为可能,我研究使用它:
感谢HelpHand!