相当有趣的一系列事件展开了。我从 Microsoft Dreamspark/Imagine 下载了一个新安装的 Windows 映像。使用一些安全限制策略、gpos 等不到 3 周。无论如何，我开始注意到我看到 Cortana 和 MS Calculator 似乎使用了一些 TCP 流量。除了计算器，哪个 Cortana 很明显？

所以我用 Windows Defender、Maleware Bytes Anti Exploit 和 Rootkit 以及 Viper Scan 扫描了这台机器……计算器上什么也没有。我会看到计算器也作为计划任务产生。

让我心神不宁。我用 YARA 对其进行了扫描，它具有使用 HIjack 网络、UDP 和 TCP 套接字、键盘记录器、屏幕截图、音频释放器、隐私升级签名等的签名，正如我所怀疑的那样。

从那以后，我删除了所有 Windows 应用程序。（这也是 DOD STIG 的要求）

有没有人见过这种行为？有什么想法或解释吗？为什么 Malware Bytes 和 Microsoft 未能将其检测为病毒？还是剥削？我几乎假设这是正常行为？