刚刚打开一个文本文件,发现在编辑区点右键弹出菜单时有明显的延迟.
怀疑严重占用CPU,于是打开任务管理器再试,确认了这种情况.
记事本里点右键,为什么会瞬间占用CPU100%呢?
我赶紧查了一下它所加载的模块,也没有发现什么特别的呀!
无意中在一个文本文件上点右键,发现还有一个"编辑"选项.
结果,使用编辑选项打开的文件,竟没有这种现象了?! 
马上再查模块,发现编辑方式打开的那个记事本,比起双击时启用的记事本,少了N多模块.....
事情到了这里,貌似有点路子了,
然后一看,正常的那个记事本是位于SYSTEM32目录下的,而占CPU那个是WINDOWS目录下的....
两个文件经过二进制比较,完全相同;
于是我就想起了瑞星里面设置的"文件夹监控白名单"列表里,加入了SYSTEM32目录及其子目录.
这个目录下的所有文件不会被文件监控处理.
会不会是这样呢.....?
马上关闭瑞星的所有监控,结果.........机器一下子慢得像蜗牛,只有鼠标能动,所有打开的程序无法动弹..
我知道没有死机,可是系统现在根本无法响应我的命令,所有窗口都进入死锁状态.
按CAD,再点任务管理器,半天没出来.
等了近十分钟,还是如此,实在没有耐心了,就重启了.
真不知道瑞星是怎么搞的....
是不是在所有进程里面都插入了自己的线程?然后在关闭监控时,停止这些线程?
如果这一步里出问题,宿主当然也会出问题...
但这只是猜猜而已....
谁知道呢!!我又还没有那能耐去跟踪瑞星,把这一切搞清楚.....哎~~ 
重启起来后,把所有监控关闭-------------这次倒没有一点问题,顺利地,正常地关闭了....
然后再次运行记事本,双击一个编辑一个.
结果还是一样.....
想了想,应该就不是杀软的问题了.....我都关了嘛~~~
那么,就只能比较一下双击那个记事本里加载的模块了....
经过分析,双击的记事本里多出的模块如下:
ShimEng.dll
AcLayers.DLL
USERENV.dll
AcGenral.DLL
WINMM.dll
OLEAUT32.dll
MSACM32.dll
VERSION.dll
Secur32.dll
除了AcLayers.DLL与AcGenral.DLL外,其它的都位于SYSTEM32目录下;
而这两个位于WINDOWS\AppPatch目录下...
它们的版本号大部分都是3790.1830,看来是SP1里面的.....
同一个文件,在不同的系统目录里面运行,就会加载不同的模块.
这,除了WINDOWS自己干的,应该不会再有其它谁干的了吧..?
其它文件,如计算器,注册表编辑器等也试过了,没有这样的现象.
看来,这SP1里对WINDOWS目录下的记事本打了补丁.....
就像把一部125装上很厚的装甲.....虽然超慢了,但是却更安全了...
|
翻出七月份的一个文本文件