Cygwin をインストールしましたが、会社が悪意のある動作の検出に CrowdStrike Falcon を使い始めてから、「ls」、「grep」などの単純なコマンドの実行に、以前よりもずっと時間がかかるようになりました。たとえば、4 つのファイルしかないディレクトリで単純な「ls」コマンドを実行するのに 2 ~ 10 秒かかります。ただし、コマンドは実行され、結果が出力されるまでに長い時間がかかります (2 ~ 10 秒の遅延の最後に突然出力されます)。
最初は、CrowdStrike Falcon が、悪意のある動作をしないことを確認するために、実行されるすべてのプログラムをサンドボックス VM で数秒間テストしているのではないかと考えました。実際にそうしている可能性もありますが、Visual Studio で作成した私自身の C++ プログラムの実行にはそれほど時間がかかりません。
そこで、ローカルディレクトリで 'ls' を実行しても、Cygwin はネットワーク経由で送信されるのだろうかと疑問に思い始めました。IP トラフィックのログについてあまり詳しくないのですが、Sysinternals の TCPView (実際の参考:Sysinternals のツールのコピーと、さらに念のために独自のスパイウェアを添付して喜んで提供する他のさまざまな Web サイトからではなく、Web サイトから入手してください。
TCPView を実行し、PID 列で降順で並べ替えて、新しいプロセスが上部に表示される可能性が高くなることを期待して、Windows コマンド プロンプトから C:\cygwin\bin\ls を実行しました。約 5 秒間何も起こりませんでしたが、突然新しい行が表示され、約 1 秒後にプロセス名「ls.exe」の別の 2 行が表示され、UDP トラフィックが表示されました。
現在のディレクトリがローカルの C: ドライブにあり、引数なしで ls を実行した場合、Cygwin の ls.exe が UDP パケットを送信する必要があるのはなぜですか?