去年買了個電腦想搞搞設(shè)計和計算

訂單截圖

結(jié)果今兒發(fā)現(xiàn)有個奇怪的文件夾：

C:\Program Files (x86)\Common Files\Microsoft Shared\TigerKin

被加入到path里面，干啥的不知道。但是很難刪除。

首先windows里的tasklist里沒有TigerKin.exe，看不到，不知道怎么做的隱藏，必須在powershell里用Get-Process才能看到，而且Kill-Process也殺不掉這個進程，必須用ntsd 這樣除了system之類的進程殺不死，其他都能殺的大殺器才可以。

然后清理注冊表，把TigerKin關(guān)鍵字的項都刪除了一下，發(fā)現(xiàn)有個。

計算機\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\State\UserSettings\S-1-5-21-2406200979-3772149622-2753763906-1002下面的關(guān)于TigerKin這個目錄的項目是刪除不掉的。

這個bam(= Background Activity Moderator)是windows 10里奇怪的東西，沒看懂是干啥的，但是應(yīng)該是微軟的東西，而不是寧美國度的東西。

而且在刪除TigerKin.exe后，還有PPHelper64.sys, PPSDK32.dll, PPSDK64.dll, xmsec64.sys幾個文件有問題，刪除不了。

用tasklist /m列出所有進程調(diào)用的dll文件，沒找到這兩個貨。

其中PPSDK32.dll和PPSDK64.dll是被system打開的，用sysinternals工具箱中的handle64.exe進行查詢，確實可以看到system進程打開了這兩個dll，但是system這個進程是不能被殺掉的，所以還沒找到怎么清除這兩個dll。

另外PPHelper64.sys和xmsec64.sys還沒看出來是在哪里被打開的。

突然覺得寧美國度這個技術(shù)人員還是挺屌的，居然能把文件隱藏這么深 。

希望有大神可以告訴我他們到底用了什么技術(shù)做隱藏？