Ich habe Cygwin installiert und festgestellt, dass, seit mein Unternehmen CrowdStrike Falcon zur Erkennung bösartigen Verhaltens verwendet, die Ausführung einfacher Befehle wie „ls“, „grep“ usw. viel länger dauert als früher. Etwa 2 bis 10 Sekunden für einen einfachen „ls“-Befehl in einem Verzeichnis mit nur 4 Dateien. Aber es läuft immer noch, es dauert nur lange, bis die Ergebnisse ausgegeben werden (was am Ende der 2- bis 10-sekündigen Verzögerung plötzlich geschieht).
Zuerst dachte ich, dass CrowdStrike Falcon vielleicht jedes jemals ausgeführte Programm (bei jeder Ausführung) mehrere Sekunden lang in einer Sandbox-VM testet, um sicherzustellen, dass es nichts Schädliches anstellt ... was vielleicht auch der Fall ist, aber ... meine eigenen in Visual Studio geschriebenen C++-Programme brauchen nicht so lange zum Ausführen.
Also begann ich mich zu fragen, ob Cygwin über das Netzwerk gesendet wird, selbst wenn ich 'ls' in einem lokalen Verzeichnis ausführe. Da ich nicht viel über IP-Verkehrsprotokollierung weiß, lud ich TCPView von Sysinternals herunter (von der echtenhttps://docs.microsoft.com/en-us/sysinternalsund nicht von einer der zahlreichen anderen Websites, die gerne eine Kopie der Tools von Sysinternals bereitstellen und obendrauf ihre eigene Spyware anhängen).
Ich habe TCPView laufen lassen und nach der PID-Spalte in absteigender Reihenfolge sortiert, in der Hoffnung, dass ich dadurch neuere Prozesse besser oben sehen kann. Ich habe C:\cygwin\bin\ls von einer Windows-Eingabeaufforderung aus ausgeführt. Etwa 5 Sekunden lang passierte nichts, dann erschien plötzlich eine neue Zeile und etwa eine Sekunde später zwei weitere Zeilen mit dem Prozessnamen „ls.exe“, die UDP-Verkehr anzeigten.
Warum müsste Cygwins ls.exe UDP-Pakete senden, wenn sich mein aktuelles Verzeichnis auf meinem lokalen Laufwerk C: befindet und ich ls ohne Argumente ausgeführt habe?