我们都知道不少软件会在后台悄悄下载广告,甚至一些是强制要求使用的软件。对于这些东西大家可能习以为常,甚至逆来顺受。我,也是和大家一样。只要你只是略占一点点资源,不影响网吧就行了。可是偏偏在今天,我遇到了一个进程疯狂的占用资源,导致整个网吧游戏都上不去,搞了几个小时进行排查。现在在这里分享一些经验给大家。
还是那句话,我不针对任何软件,只希望你们在网吧运行你们的广告的时候,能够少占点资源。因为深蓝的影响力较大,所以在有些关键的地方我不会说得特别明显,但是你一定懂得说的是什么。(这句话可能是深蓝在装逼,您可以选择性忽略)
今天接到网吧电话说网吧很卡,远程检查了路由,外网网关,最近的DNS,ping值将在<1左右,非常稳定和正常。于是过去网吧客户机进行检查。
1. 进入网吧后发现网页打不开,需要等待5秒左右(不要在意那个百度主页加了链接,我自己网吧主页我都没做,让给这些收费啊三层去做了好了,这么大方他们还不满意)
2. 查看进程发现 smss.exe 的进程占用内存最多,并且目录还是随机的。在一个随机目录冒充系统进程,我代表我个人认为,这不是个好东西。
3. 父进程PID 1900,再一看,哟不见了呢。这一步是为了防止你找到父进程而知道是哪个进程干的眼前的苟且。
4. smss.exe 中一个可疑的模块 ieframe.dll ,这是做什么用的呢。我不知道,但前段时间有个客户联系我说想做个软件,无界面无声音悄悄打开网站。他说这是为了诗和远方。
5.重启两次客户机用 文件指纹查看MD5发现没有改变。噫 ,也还不是很流氓嘛,还暂时没有用上随机MD5技术呢。
6. 我们来看一下父子进程关系图。发现explorer.exe > 0504ht.exe > client.exe > regsvr32.exe > smss.exe 这样一个关系。
7.explorer.exe 生成 (writefile) 0504ht.exe 文件 (注意这个文件每个礼拜或者两个礼拜就会变一次,或者更短时间,真的很勤快,可以发一个最爱劳动奖)
8.client.exe 创建 smss.exe
9.这家伙挺忙啊,干的事儿不少。好样的。
10.为什么是explorer.exe创建了smss.exe呢?查看explorer.exe 发现其被插入了一个不明的DLL zbluntmr.dll,原来是这样啊。
11. 那这个 ZBLUNTMR.dll是谁的呢?似乎有图有真相?
12.解决办法。
看了这么详细的过程,你还不会解决吗?此事不能细说。
解决完成后,游戏不卡了,网页也能瞬间打开了。我推开沉重的门,离开了烟味扑鼻充满了老鼠咬断电源线味道的网吧。门外残阳如血,浓云低垂,我开始怀念起那个刚开始做网吧的时代了。
谢谢收看,完。
我的工单留言列表与站长回复 . 共有留言: 95 条
