從源頭消滅彈窗——定位

Process Explorer 介紹

• 這款免費(fèi)軟件是微軟家出品的，它是一款任務(wù)管理器軟件，還包括了系統(tǒng)監(jiān)控、進(jìn)程監(jiān)控等等一系列功能，雖然說(shuō) windows 自帶的任務(wù)管理器有很多可以探索的地方，但是 Process Explorer 可以說(shuō)是 windows 自帶的任務(wù)管理器的加強(qiáng)版。

• 這是 windows 自帶的任務(wù)管理器：

  2017118-taskmanager

• 這是 Process Explorer ：

  2017118-0proexp

彈窗是什么？

• 最近不是快雙十一了嗎，實(shí)驗(yàn)室的電腦偶爾會(huì)有彈窗彈出來(lái)，就像下圖那個(gè)購(gòu)物車的圖標(biāo)，而且它還在一閃一閃的，生怕我沒(méi)注意到它。

  2017118-box

• 我就納悶了，最近我沒(méi)訪問(wèn)不良網(wǎng)站，也沒(méi)下載亂七八糟的軟件，不過(guò)想起來(lái)最近配置開(kāi)發(fā)環(huán)境下載了一些軟件和工具包，難道中了全家桶？不對(duì)啊，我這下載的軟件都是國(guó)外的，雙十一的廣告難道都打入了開(kāi)發(fā)者網(wǎng)站？

• 不急，我們用 Process Explorer 來(lái)看看究竟這個(gè)彈窗是哪個(gè) liumang 軟件附帶的。

步驟

• 首先點(diǎn)擊 Process Explorer 工具欄中的定位圖標(biāo)，點(diǎn)擊后鼠標(biāo)不要松開(kāi)，拖動(dòng)鼠標(biāo)到右下角，松開(kāi)：

  2017119-drag1

• 這時(shí) Process Explorer 會(huì)自動(dòng)定位到當(dāng)前進(jìn)程，沒(méi)錯(cuò)，這是屬于 explorer 這個(gè)進(jìn)程的，這個(gè)進(jìn)程下有許多軟件正在運(yùn)行中，比如我打開(kāi)了 Visual Code 編輯器，微信PC版，網(wǎng)易云音樂(lè)：

  2017119-PROex

• 看到上對(duì)于一些從名字看不出來(lái)的進(jìn)程，把鼠標(biāo)移到該名字上，正如上圖中的 “yundetectservice.exe” ，發(fā)現(xiàn)是在 "E:\BaiduNetdisk\yundetectservice.exe" 中的進(jìn)程，所以可以想到這個(gè)進(jìn)程是百度網(wǎng)盤(pán)的相關(guān)進(jìn)程。

• OK，這時(shí)就要思考一下，這個(gè)彈窗究竟是右下角彈窗（就像騰訊新聞、360開(kāi)機(jī)時(shí)間提示那樣的桌面彈窗），還是網(wǎng)頁(yè)彈窗呢，如果是網(wǎng)頁(yè)彈窗的話，點(diǎn)擊后會(huì)直接打開(kāi)網(wǎng)頁(yè)，不利于追蹤進(jìn)程，很不幸，這個(gè)是網(wǎng)頁(yè)彈窗，點(diǎn)擊后直接打開(kāi)了網(wǎng)頁(yè)。

  2017119-1111

• 這是一個(gè)失敗的演示，假設(shè)當(dāng)時(shí)我不選擇點(diǎn)開(kāi)彈窗在，直接 kill 掉 "E:\BaiduNetdisk\yundetectservice.exe" 這個(gè)進(jìn)程，如果這時(shí)彈窗消失，則可以確定是百度網(wǎng)盤(pán)干的好事了。

制造彈窗

• 為了得到一個(gè)桌面彈窗，我把 foxit reader 的廣告訂閱打開(kāi)了。

  2017119-foxit

• 為什么會(huì)知道這個(gè)是彈窗呢，因?yàn)榍皫字苊刻扉_(kāi)機(jī)后總是有桌面彈窗，通過(guò)上述方法找到了罪魁禍?zhǔn)?，正?dāng)我進(jìn)入卸載頁(yè)面的時(shí)候，我選擇了卸載原因是“廣告太多”，foxit reader 打開(kāi)了上圖界面，幫我把“訂閱每日內(nèi)容”前的鉤去掉了。我狠不下心，就沒(méi)卸載它了。

• 好了，接下來(lái)干點(diǎn)別的事，等彈窗出現(xiàn)吧（滑稽）。

十八年后...

• 好了，彈窗沒(méi)出現(xiàn)，出現(xiàn)了一個(gè)垃圾清理彈窗，我就奇怪了，電腦沒(méi)有裝任何殺毒軟件，一直是裸奔狀態(tài)，看來(lái)這是一個(gè)廣告彈窗。

  2017119-box1

• 接下來(lái)就打開(kāi) Process Explorer ，把定位按鈕拖拽到這個(gè)彈窗上，結(jié)果顯示是這個(gè)進(jìn)程在搞鬼。

  2017119-kingsoft

• Process Explorer 可以顯示進(jìn)程數(shù)的層級(jí)，這是非常方便的，可以看到，定位的進(jìn)程名字叫做“infocenter.exe”，父節(jié)點(diǎn)是“kbasesrv”，這個(gè)進(jìn)程對(duì)應(yīng)的“company name”是“Kingsoft Corporation”

• 如果在這里還看不出是金山公司的軟件的話，那就在資源管理器中定位到這個(gè)“infocenter.exe”文件中，右鍵點(diǎn)擊屬性，可以看到這個(gè)程序是哪家公司的：

  2017119-property
  2017119-property2

• 接下來(lái)，就可以爽快地把 Kingsoft 卸載了。

本文只是為了演示 Process Explorer 的強(qiáng)大定位功能，上手簡(jiǎn)單，屢試不爽。如果你有其他的解決方案，歡迎留言，抵制彈窗。