我的台式机配备的物理内存是32GB DDR4 x2,考虑主板插槽和CPU,这内存配置已经算是顶配。但日常用下来还是有些拮据,内存占用基本都是83%往上。
大概率还是进程较多,其中不乏括号40+的内存杀手Chrome。不过我还是比较好奇内存占用的详细情况,并排查一下是不是有忽略的隐患。寻求Gemini后给我推荐了一个更加专业详细的工具 Sysinternals RAMMap。我还了解到,在2006年的时候,Microsoft收购了Sysinternals,所以RAMMap也算是“微软官方出品”。
排查下来没有什么大问题,确实是“进程海战术”导致的内存占用过高。后来打开Chrome自己的任务管理器,截到了(图1)这张有点监守自盗意味的图w
我在bing上搜索RAMMap,简单翻阅了搜索结果的前几页,发现了一个奇怪的仓库。仓库名叫RAMMap,创建在三周前,只有一个空白的release是在6小时前更新的。
我把release里的RAMMap.zip拖到TinyCore里面解压,果然不对劲。我在官方渠道下载的RAMMap虽然也是压缩包,但里面只有Eula.txt和exe,且exe大小也只有700KB左右。但这个不对劲的压缩包解压后是一个.msi和一个装满零碎文件的data目录。
strings了一下这个msi文件,虽然我看不出什么门道,丢给Gemini解读。
cmd.exe /c start /min call D2efEigS.cmd
Software\J9RcZuZg\kzgVuz35wo
RemoveTempFiles , *.*RemoveTempDir
这些都基本指向这个msi是恶意的木马释放器。
再往下研究的功夫还没修炼,暂时就没招了。样本我改名再套了一层密码为“infected”的压缩包后单独放着,后面一边学一边琢磨了。接下来就是举报这个可疑仓库了。
