每次打开计算机时都会使用网络的神秘“卸载进程”

Question

我带着我的双启动 Windows 10/Ubuntu 笔记本电脑旅行，并且通常对 WiFi 的访问相当有限。当我启动到 Windows 端时（甚至在睡眠一段时间后从睡眠中醒来），我经常会遇到一段低于预期的网络性能。

打开任务管理器，我通过“应用程序历史记录”看到一个叫做“卸载的进程”的东西通常在醒来后会挂在网络上几分钟。通过“挂钩”，我的意思是他们的网络使用与我打开的任何其他试图连续下载的东西同步增加。通常它会在几分钟后安静下来，但是当它处于活动状态时会非常烦人。连接到我的手机时情况更糟，从那时起我就为这项活动支付了真钱。

这是唤醒并使用“删除使用历史记录”将所有计数器归零后“应用历史记录”列表的典型截图：

这是“卸载的进程”停止使用网络后的一段时间，但最初唤醒后它与最高网络使用进程绑定。

这是一个新盒子，我已经卸载了它上面的十几个东西，但最近没有，而且自上次重新安装以来已经重新启动了很多。

我非常渴望任何关于如何追踪这个流氓过程的提示。

Answer 1

正如在评论中由harrymc 链接的取证演示中所提到的，卸载的进程条目是无法再找到磁盘上可执行文件的进程的统计数据总和。正如该演示文稿的幻灯片 17 所证明的，Windows 系统资源使用监视器通过完整的对象管理器名称（对于桌面应用程序）、服务名称（对于服务）或 Windows 应用商店应用程序 ID 来识别程序.

任务管理器尝试显示每个条目的应用程序标题，但该信息并未存储在 SRUM 数据库中 - 它仅存储在可执行文件的属性中。理论是，如果任务管理器找不到程序的 EXE，它会将统计信息集中到Uninstalled processes 中。我们可以用科学来验证那个理论！下载您最喜欢的可移植程序，该程序使用大量一种系统资源（例如Procmon，如果让它运行一段时间未过滤，则需要一些 CPU 时间）。请注意它在任务管理器记帐中的条目。现在关闭并删除/移动测试程序，然后重新打开任务管理器。使用的资源已添加到卸载的进程条目中。

请注意，如果某个程序的可执行文件因任何原因而无法访问，而不仅仅是缺失，则任务管理器可能会认为该程序已“卸载”。在这种情况下，负责该活动的程序将驻留在即使管理员也无法访问的系统目录中（默认情况下）。您可以使用Process Explorer获得更多信息。

因此，网络使用是由在您运行任务管理器时找不到的程序完成的。这几乎肯定是由桌面应用程序转储或提取另一个 EXE（例如更新检查程序），运行该 EXE，然后在退出后将其删除造成的。要弄清楚这是什么原因，您可以尝试直接解析 SRUM 数据库（如演示中所述），使用 Procmon 的引导日志功能，或尝试使用Autoruns禁用一些自动启动应用程序。