被这玩意儿折腾得够呛

昨天我那台旧笔记本又卡成幻灯片了，打开任务管理器一看，嚯，一个叫的家伙在后台吭哧吭哧吃资源。这名字瞅着眼生，一股子野路子的味道，心里咯噔一下：可别是个挖矿病毒？我这破电脑可经不起折腾。赶紧放下手里的活儿，盘它！

第一步：先揪它老窝在哪儿

任务管理器里对准它名字右键 - 打开文件所在的位置。啪！窗口弹出来，路径居然是C:\Program Files (x86)\IObit\Advanced SystemCare！咦？这不是我装了好几年的系统清理软件的地盘吗？病毒一般不都喜欢躲在犄角旮旯或者临时文件夹里吗？藏在这种正经软件窝里的可不多见。心里稍微松了半口气，但也没敢全信，接着查！

第二步：验明正身看签名

回到任务管理器，对着它又右键 - 属性，然后点进“数字签名”这个标签页。签名的公司清清楚楚写着IObit Information Technology！这名字熟，就是我用的那个清理软件的开发公司。赶紧手动点开签名详情，确认证书没失效，也没异常警告。这下心里稳了七八分——如果是病毒，伪造签名要么没有，要么容易露马脚，哪能这么周全？

第三步：看看它背着我在搞啥

还是不太死心，翻出之前为了防老六装的网络监控工具，想看看它有没有偷偷摸摸往外发东西。

• 把*运行一小会儿
• 紧盯流量监控：全是和 IObit 官网（.*）的加密连接
• 协议主要是 HTTPS，端口规规矩矩的 443
• 流量很小，不像大量传数据的样子

心里悬着的石头彻底落地。这流量模式，摆明了是软件在检查更新或者上传点儿必要的匿名诊断数据，那些真偷数据的病毒，流量恨不得拉满，而且连的地址都鬼鬼祟祟。

真相大白，差点冤枉好人

折腾一圈，证据链齐活儿了：

• 老窝：蹲在正版软件自家文件夹
• 签名：官方认证，有鼻子有眼
网络：只跟官网唠嗑，安分守己

得，破案了！这就是个正经打工人，是Advanced SystemCare自家的小弟，专门负责提醒更新或者干点杂活。这回真是自己吓自己，看啥都像病毒。不过这套查老窝、验签名、盯网络的路子，对付来历不明的程序贼管用，下回谁要觉得电脑里有东西不对劲，这么盘一盘，心里就有谱了。