Ты можешь использовать procmon.exe
с фильтром для потока, который вы определили как пик (TID), и посмотрите более подробно, что делает этот поток.
Как отмечает @ syneticon-dj в своем комментарии, он обращается к значению реестра.
У меня похожее поведение (тот же всплеск ЦП, тот же виновник в стеке вызовов), и я определил несколько обращений к реестру, которые, по-видимому, связаны с некоторыми сетевыми ресурсами, которые я сопоставил как диски, помеченные как «переподключение при входе в систему».
Например, я сопоставил \\machine\c$\
Как мой X:
диск, и я вижу эти соответствующие доступы:
RegOpenKey (УСПЕХ): HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##machine#c$
RegQueryValue (ИМЯ НЕ НАЙДЕНО): HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##machine#c$\_LabelFromReg
RegCloseKey (УСПЕХ): HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##machine#c$
Я знаю, что ранее открыл несколько файлов (в Notepad ++) с этого диска, просмотрев файл explorer.exe и используя команду контекстного меню «Редактировать с помощью Notepad ++».
Как ни странно, у меня также есть сопоставленные другие общие папки и файлы, открытые в настоящее время, и я не вижу того же доступа к реестру для этих общих ресурсов.
Несмотря на то, что все файлы были закрыты и окно этого Проводника больше не было открыто, я все еще видел доступ к реестру.
Как только я нажал на красную букву X, чтобы закрыть окно проводника, я больше не видел доступа к реестру из этой темы. Это несмотря на то, что тот же процесс explorer.exe остается живым в соответствии с Process Explorer, и тот же TID (все еще показывает SHLWAPI.dll!SHRegGetUSValueW+0x1a4
в качестве начального адреса) все еще существует (в состоянии ожидания: пользовательский запрос).
Если кто-то может предоставить больше комментариев о том, что я вижу здесь, я хотел бы получить вклад. Меня особенно смущает доступ к реестру, доступный только для одного из общих ресурсов, которые я сопоставил. Кроме того, я ожидал, что процесс проводника завершится, когда я закрою окно, но этого не произошло (иногда это происходит). Повторное открытие Проводника из «булавки» панели задач приводит к появлению нового окна Проводника из исходного процесса explorer.exe (с тем же PID и временем запуска).