悪意のあるプロセスを見つけるために、プロセスの読み込みとメモリ パスを確認します。たとえば、csrss.exe が windows/system32 以外のパスから実行された場合、悪意があると見なされます。ただし、csrss.exe などの一般的なプロセスのボラティリティの結果は次のとおりです。
読み込みパス : \??\C:\WINDOWS\system32\csrss.exe
マップされたパス: \WINDOWS\system32\csrss.exe
または私が持っているsms.exeの場合
ロード パス: \SystemRoot\System32\smss.exe
マップされたパス: \WINDOWS\system32\smss.exe
では、これら 2 つのパスは、これら 2 つの例で等しいのでしょうか? つまり、\??\C:\WINDOWS==\WINDOWS
または \SystemRoot\System32 == \WINDOWS\system32です。