V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kinboy
V2EX  ›  Windows

mstsc.exe 在后台运行是啥情况

  •  1
     
  •   kinboy · 2022-10-09 11:16:11 +08:00 · 2606 次点击
    这是一个创建于 780 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近发现窗口总是无缘无故失去焦点,导致好好敲着代码,突然无法输入了

    找了一个窗口检点检测工具,根据 pid 定位到是 mstsc.exe 这个进程在搞鬼,每次失去焦点时都是被切换到这个进程上了,而且这个进程在频繁重启

    难道是我电脑被当成肉鸡了?大佬们赐教

    第 1 条附言  ·  2022-10-09 14:37:26 +08:00
    最后定位到是与 wslg 有关了,wslg 通过在后台启动并保持一个与 Host 的 rdp 连接(也就是用到了 Windows 的 mstsc.exe )在 Windows 界面中显示 Linux 窗口应用,然后通过 wslgd 这个常驻进程随时检测该 rdp 连接的可用性,检测为不可用时就会自动重启 rdp 进程
    https://github.com/microsoft/wslg#wslgd

    解决办法是通过 wsl 配置文件关闭 wslg
    https://github.com/microsoft/wslg#wslg-system-distro
    17 条回复    2022-11-14 10:10:18 +08:00
    kinboy
        1
    kinboy  
    OP
       2022-10-09 11:47:00 +08:00
    用火绒剑分析了系统行为,发现 mstsc 进程是被 wsl 创建的,如下日志中父进程 id 就是 wsl
    parent_pid:11784
    cmdline:'mstsc.exe /v:9522CC30-811A-4C2C-B024-0C923DDD9E9B /hvsocketserviceid:3CD72DA7-FACB-11E6-BD58-64006A7986D3 /silent /wslg /plugin:WSLDVC /wslgsharedmemorypath:WSL\9522CC30-811A-4C2C-B024-0C923DDD9E9B\wslg C:\ProgramData\Microsoft\WSL\wslg.rdp'
    image_base:0x00007FF6204A0000
    image_size:0x001AC000
    kinboy
        2
    kinboy  
    OP
       2022-10-09 14:27:10 +08:00
    最后定位到是与 wslg 有关了
    https://github.com/microsoft/wslg#wslgd

    解决办法是通过 wsl 配置文件关闭 wslg
    https://github.com/microsoft/wslg#wslg-system-distro
    kinboy
        3
    kinboy  
    OP
       2022-10-09 14:28:29 +08:00
    窗口检点检测工具 ==> 窗口焦点检测工具
    newmlp
        4
    newmlp  
       2022-10-09 14:28:54 +08:00
    mstsc 这是个客户端,你看看 C:\ProgramData\Microsoft\WSL\wslg.rdp 配置文件里连到哪里了
    dorothyREN
        5
    dorothyREN  
       2022-10-09 14:37:21 +08:00
    我的 win10 左下角老有类似于弹窗一样,一闪一闪的,但是当前窗口不会失去焦点。都半年多了 一直找不到问题所在
    kinboy
        6
    kinboy  
    OP
       2022-10-09 14:42:50 +08:00
    @newmlp #4 确实,mstsc 只是一个客户端,看了下 wslg.rdp 文件内容,是一个指向远程 app 的 rdp file
    audiocapturemode:i:2
    authentication level:i:0
    disableconnectionsharing:i:1
    enablecredsspsupport:i:0
    hvsocketenabled:i:1
    remoteapplicationmode:i:1
    remoteapplicationprogram:s:dummy-entry
    kinboy
        7
    kinboy  
    OP
       2022-10-09 14:44:37 +08:00
    @dorothyREN #5 可以用火绒剑监控系统行为,看看发生闪动的时候有哪些刻意进程行为,我也是用这个办法定位到 wsl 的,真的很厉害这个工具
    kinboy
        8
    kinboy  
    OP
       2022-10-09 14:45:02 +08:00
    @kinboy #7 刻意进程行为==> 可疑进程行为
    dorothyREN
        9
    dorothyREN  
       2022-10-09 14:54:05 +08:00
    @kinboy #7 不瞒你说,我不会用。。。。
    kinboy
        10
    kinboy  
    OP
       2022-10-09 15:03:56 +08:00
    @dorothyREN #9 安装火绒安全软件,在安全工具--> 高级工具中第一个就是火绒剑,打开火绒剑后第一个选项是”系统“,点击 “开启监控”,等待出现异常,此时异常行为已经被火绒剑录制,结束监控,查找可疑进程

    剩下的就上网搜一下
    dorothyREN
        11
    dorothyREN  
       2022-10-09 15:04:41 +08:00
    @kinboy #10 objk ,晚上我试一下
    zlhsvc
        12
    zlhsvc  
       2022-10-09 16:26:30 +08:00
    我之前也有这样情况,重启后就好了,应该是啥 bug 了
    kinboy
        13
    kinboy  
    OP
       2022-10-09 16:32:17 +08:00
    @zlhsvc #12 嗯,我这边是最近更新了 WSL ,因为想用最新的 systemd ,然后 PC 也很久没有关机过了,可能是导致了 WSL 的什么 bug ,然后不停启动 mstsc 了,重启应该可以暂时解决,不过我不需要用 wslg ,所以就直接关掉好了
    clorischan
        14
    clorischan  
       2022-10-09 18:34:07 +08:00 via Android
    我之前开了 docker desktop 有时候会这样,单独用 wsl2 不会
    kinboy
        15
    kinboy  
    OP
       2022-10-09 20:02:05 +08:00
    @clorischan #14 我之前用 docker desktop 没出现过这种情况,现在用 docker without desktop 反而这样了,应该与 docker 无关
    melsp
        16
    melsp  
       2022-11-12 09:20:53 +08:00 via Android
    好奇怪,我在远程主机的时候,本地和对方都没有 mstsc 这个进程呢
    kinboy
        17
    kinboy  
    OP
       2022-11-14 10:10:18 +08:00
    @melsp #16 weird
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1489 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 23:56 · PVG 07:56 · LAX 15:56 · JFK 18:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.