现象

客户某虚拟机内存使用率极高，在系统里面查看最可以达96%资源管理器里面总额加起来仅10G左右，能看到分页缓冲池很搞，找不到具体进程

（一）查找内存占用

使用poolmon执行poolmon -a，查看内存页面情况，发现名为FMfn的驱动模块提交了近110G的内存占用，此时怀疑可能存在内存泄漏的情况。

（二）查找内存标记为FMfn的驱动模块

执行findstr.exe /sm1 "FMfn" C:\Windows\System32\drivers\*.sys，查找到C:\Windows\System32\drivers\fltMgr.sys的驱动文件。

（三）定位所属驱动作用
通过搜索了解筛选器管理器 (FltMgr.sys) 是系统提供的内核模式驱动程序，用于实现和公开文件系统筛选器驱动程序中通常所需的功能。驱动为系统提供的minifilter框架驱动，那就可能是系统各种的minifilter调用框架api，产生了内存分配，却没有释放导致。

（四）查找服务

使用fltmc命令查看系统中存在哪些minifilter调用，通过对比正常的服务器发现系统服务多了“LSI_SAS2l”与“iaLPSS1z”比较明显，通过搜索后发现一则帖子激活工具散播锁首病毒“麻辣香锅“ 诱导用户退出安全软件，表现是会出现首页锁定。

查看IE浏览器，谷歌浏览器发现首页均被锁定，符合相关病毒特征。

（五）结果复现

通过查找相应的软件目录发现D盘heu存在一个激活工具的提示

继续定位在D盘ht目录发现名为HEU_KMS_Activator.rar的压缩包，但是存在压缩密码。

通过咨询应用方获得解压密码，获得安装包，在虚拟机上复现病毒释放后锁定主页操作

（六）处置建议

建议一：建议立即对虚拟机执行快照后，对相应病毒程序执行处理，重启后观察内存使用情况，如无异常再进行快照清理。

建议二：建议业主方尽快部署终端安全工具，预防此类事件的发生。

建议三：建议应用方立即停止对应激活工具的使用，并进行激活工具使用的自查工作及时处理相应的恶性事件。

（六）结束

小记，通过本次排查又学到了新工具的使用，感谢某信服工程师给的排查文件详细的记录的大致排查过程，其中包含了上述大部分流程，本积极的配合我找到原因，后面处理后目前无异常。具体经测试该病毒好像释放的驱动名字每次都不一样，搜了很久名字没有搜索到相关信息，通过服务名字搜到了这个名为麻辣香锅的病毒，好在该病毒尚未造成严重影响并有相应的处置方式。还是只怪人太菜，菜就是原罪。

参考链接

1：记录一起Windows内存泄露故障排查 - 書劍飄零 - 博客园

2：桌面云虚拟机内存泄露排查 - 桌面云aDesk - 深信服社区

3：警惕最近流行的「麻辣香锅」病毒，它会劫持你的浏览器主页！ - 知乎