从源头消灭弹窗——定位

从源头消灭弹窗——定位

Process Explorer 介绍

• 这款免费软件是微软家出品的，它是一款任务管理器软件，还包括了系统监控、进程监控等等一系列功能，虽然说 windows 自带的任务管理器有很多可以探索的地方，但是 Process Explorer 可以说是 windows 自带的任务管理器的加强版。

• 这是 windows 自带的任务管理器：

  

  2017118-taskmanager

• 这是 Process Explorer ：

  

  2017118-0proexp

弹窗是什么？

• 最近不是快双十一了吗，实验室的电脑偶尔会有弹窗弹出来，就像下图那个购物车的图标，而且它还在一闪一闪的，生怕我没注意到它。

  

  2017118-box

• 我就纳闷了，最近我没访问不良网站，也没下载乱七八糟的软件，不过想起来最近配置开发环境下载了一些软件和工具包，难道中了全家桶？不对啊，我这下载的软件都是国外的，双十一的广告难道都打入了开发者网站？

• 不急，我们用 Process Explorer 来看看究竟这个弹窗是哪个 liumang 软件附带的。

步骤

• 首先点击 Process Explorer 工具栏中的定位图标，点击后鼠标不要松开，拖动鼠标到右下角，松开：

  

  2017119-drag1

• 这时 Process Explorer 会自动定位到当前进程，没错，这是属于 explorer 这个进程的，这个进程下有许多软件正在运行中，比如我打开了 Visual Code 编辑器，微信PC版，网易云音乐：

  

  2017119-PROex

• 看到上对于一些从名字看不出来的进程，把鼠标移到该名字上，正如上图中的 “yundetectservice.exe” ，发现是在 "E:\BaiduNetdisk\yundetectservice.exe" 中的进程，所以可以想到这个进程是百度网盘的相关进程。

• OK，这时就要思考一下，这个弹窗究竟是右下角弹窗（就像腾讯新闻、360开机时间提示那样的桌面弹窗），还是网页弹窗呢，如果是网页弹窗的话，点击后会直接打开网页，不利于追踪进程，很不幸，这个是网页弹窗，点击后直接打开了网页。

  2017119-1111

• 这是一个失败的演示，假设当时我不选择点开弹窗在，直接 kill 掉 "E:\BaiduNetdisk\yundetectservice.exe" 这个进程，如果这时弹窗消失，则可以确定是百度网盘干的好事了。

制造弹窗

• 为了得到一个桌面弹窗，我把 foxit reader 的广告订阅打开了。

  

  2017119-foxit

• 为什么会知道这个是弹窗呢，因为前几周每天开机后总是有桌面弹窗，通过上述方法找到了罪魁祸首，正当我进入卸载页面的时候，我选择了卸载原因是“广告太多”，foxit reader 打开了上图界面，帮我把“订阅每日内容”前的钩去掉了。我狠不下心，就没卸载它了。

• 好了，接下来干点别的事，等弹窗出现吧（滑稽）。

十八年后...

• 好了，弹窗没出现，出现了一个垃圾清理弹窗，我就奇怪了，电脑没有装任何杀毒软件，一直是裸奔状态，看来这是一个广告弹窗。

  

  2017119-box1

• 接下来就打开 Process Explorer ，把定位按钮拖拽到这个弹窗上，结果显示是这个进程在搞鬼。

  

  2017119-kingsoft

• Process Explorer 可以显示进程数的层级，这是非常方便的，可以看到，定位的进程名字叫做“infocenter.exe”，父节点是“kbasesrv”，这个进程对应的“company name”是“Kingsoft Corporation”

• 如果在这里还看不出是金山公司的软件的话，那就在资源管理器中定位到这个“infocenter.exe”文件中，右键点击属性，可以看到这个程序是哪家公司的：

  

  2017119-property
  

  2017119-property2

• 接下来，就可以爽快地把 Kingsoft 卸载了。

本文只是为了演示 Process Explorer 的强大定位功能，上手简单，屡试不爽。如果你有其他的解决方案，欢迎留言，抵制弹窗。