windows手工杀毒-寻找可疑进程之进程启动文件路径

上篇回顾：windows手工杀毒-寻找可疑进程之进程名称-CSDN博客

上篇我们介绍了一种根据进程名称寻找可疑进程的方法。病毒可以冒用合法的进程名，使用合法的进程名作为可疑进程的进程名前缀，甚至使用完全随机的进程名，用来躲避安全软件的监控。这篇我们介绍一种新的寻找可疑进程的方法，即通过进程启动时文件的所在路径（文件处在哪个文件夹下）。

术语介绍：

文件路径：

为了方便管理文件，window将文件划分到不同的盘，不同的文件夹下。比如：

文件路径	描述方法
C:\Users\Cccc\Desktop\cv	桌面上的cv文件夹
E:\configdb.sql	E盘下的configdb.sql文件
F:\迅雷下载	F盘下的迅雷下载文件夹

特殊文件路径：

桌面文件夹：C:\Users\XXX\Desktop 其中XXX是用户的登录名，用户刚登录进去看到的数据就是桌面文件夹的内容

系统文件夹：C:\windows 系统安装的目录，c盘是大家常用的系统安装盘

临时文件夹：C:\Users\XXX\AppData\Local\Temp 其中XXX是用户的登录名，临时文件夹会存放进程使用的临时文件，电脑硬盘空间不足时提示我们删除的文件夹就包括临时文件夹

类型文件文件夹：C:\Users\XXX\Pictures\ 图片文件夹  C:\Users\XXX\Documents\ 文档文件夹

回收站：C:\$Recycle.Bin\ D:\$Recycle.Bin\ 每个盘其实都有一个回收站，只不过电脑默认隐藏了

获取进程启动文件路径：

我们在任务管理器中右键选中要查看的进程，单击Open file Location，即打开文件位置

就能看到启动文件在"C:\Windows\ImmersiveControlPanel\SystemSettings.exe"文件路径

可疑进程启动文件路径分类：

1. 在临时文件夹启动的进程

临时文件夹下存放的通常是进程运行时临时使用的文件，会被不定期清除，所以通常不会有正常软件将文件存放在临时文件夹。但病毒通常会下载或释放恶意程序到临时文件夹下，然后运行

2. 在系统文件夹启动的进程

这个需要结合前面介绍的方法辅助判断，因为大部分的合法进程都从这个路径或子路径下启动。但是如果这个进程的图标是可疑的，或文件名是可疑的，那他多半就是可疑进程。试想一下在c:\windows下启动一个bchshdcjnx.exe进程~

3. 在类型文件夹启动的进程

电脑在安装系统时会创建一些默认的文件夹，比如图片文件夹，文档文件夹，音乐文件夹等。这些文件夹通常是用来存放对应类型的文件。如果有个进程在 "C:\Users\XXX\Pictures\my.exe"下启动，那多半也是个可疑进程

4. 在回收站启动的进程

回收站保存的都是用户删除的文件，但是回收站本质上也是一个文件夹，数据保存在里面是可以正常使用的，可疑的进程可能会在回收站中启动进程。当然这需要通过编程实现，常规的界面操作是无法运行的

5. 在隐藏的路径下启动的进程

文件或文件夹可以设置是否隐藏，windows默认是不显示隐藏文件或文件夹的。如果你用任务管理器打开文件所在位置菜单，打开的文件夹是空的，那说明这个文件可能被隐藏了，可以通过设置windows显示隐藏文件查看确认

总结：

这篇我们介绍如何通过进程启动文件的所在路径筛选可疑文件。虽然介绍了多种，但总结起来就一句话，如果启动进程的文件在他原本不应该在的文件夹启动，就是可疑的进程。底层逻辑是正常的软件为了方便用户使用，会按照电脑的默认要求存放文件，方便用户查找。而病毒专门找那些用户不好找的文件夹启动。或者用户常见的文件夹，冒充合法进程。