前两天win7旗舰版系统内存占用很高，查看任务管理是一个Svchost进程，80%内存。记下Pid，随后检查它挂载的服务，也没有发现异常，一共就四个微软的服务。360等安全软件偶尔会自动关闭。使用诸如冰刃等工具查看系统，发现的问题是，Hlp、Com、Scr文件关联异常，Nod32病毒库三个Dat文件被篡改，System32下，有一个签名是微软的.Sys驱动文件，数字签名提示“不可用”。随后我用数字证书验证工具，扫描了System32下所有文件，发现如Backup.dll、backupie.dll等十几个文件且来历不明，十分可疑。

然后，诡异的事情就发生了，当我打开System32目录，准备搞掉它们的时候，惊奇的发现竟然没有这些文件？我确定已经设置了“显示系统隐藏文件”、“显示所有隐藏文件”、“显示已知文件扩展名”，目录下其它隐藏文件均可以正常显示，自己新建文件并设置隐藏属性的也能看到。

之后，我用7Zip压缩程序查看System32目录，就看到了这些来历不明的东西，Backup.dll，30M左右，Backupie.dll等等。但是用“Windows资源管理器”打开System32还是找不到，并且接着新建同名文件Backup.dll（24Kb）竟然成功了…，同文件夹怎么可能有两个一模一样的文件共存？就像在另一个空间，我擦，拍电影？平行世界啊……

现在的状况是，在c:\windows\system32同目录下，用7Zip看到的是backup.dll(30M)，来历不明的文件。用Windows资源管理器看到的是Backup.dll(24k)，我自己建立的。

这个情况有人碰到过吗？难道病毒是在PE里。。或者微软的新技术？

[培训]科锐逆向工程师培训第53期2025年7月8日开班！