Cygwin을 설치했는데 회사에서 악의적인 행동 탐지를 위해 CrowdStrike Falcon을 사용하기 시작한 이후로 'ls', 'grep' 등과 같은 간단한 명령을 실행하는 데 예전보다 시간이 훨씬 더 오래 걸린다는 사실을 발견했습니다. 파일이 4개만 있는 디렉토리에서 간단한 'ls' 명령의 경우 2~10초 정도 소요됩니다. 하지만 여전히 실행되며 결과를 출력하는 데 오랜 시간이 걸립니다(2~10초 지연이 끝나면 갑자기 발생함).
처음에는 CrowdStrike Falcon이 샌드박스 VM에서 실행되는 모든 프로그램(실행될 때마다)을 몇 초 동안 테스트하여 악의적인 작업을 수행하지 않는지 확인하고 있다고 생각했습니다. 수행할 수도 있지만... Visual Studio에서 작성된 내 C++ 프로그램은 실행하는 데 그리 오랜 시간이 걸리지 않습니다.
그래서 저는 로컬 디렉토리에서 'ls'를 실행할 때에도 Cygwin이 네트워크를 통해 나가는 것인지 궁금해지기 시작했습니다. 그래서 저는 IP 트래픽 로깅에 대해 잘 몰랐기 때문에 Sysinternals에서 TCPView를 다운로드했습니다(실제 사이트에서).https://docs.microsoft.com/en-us/sysinternals좋은 측정을 위해 자체 스파이웨어와 함께 Sysinternals의 도구 사본을 기꺼이 제공하는 다양한 다른 웹사이트가 아닌 웹사이트).
TCPView가 실행되고 PID 열에서 내림차순으로 정렬된 상태에서 상단에서 최신 프로세스를 볼 수 있는 더 나은 기회를 제공하기 위해 Windows 명령 프롬프트에서 C:\cygwin\bin\ls를 실행했습니다. 약 5초 동안 아무 일도 일어나지 않았다가 갑자기 새로운 줄이 나타났고, 약 1초 후에 프로세스 이름이 "ls.exe"인 또 다른 두 줄이 나타나 UDP 트래픽을 보여주었습니다.
현재 디렉터리가 로컬 C: 드라이브에 있고 인수 없이 ls를 실행했는데 Cygwin의 ls.exe가 UDP 패킷을 보내야 하는 이유는 무엇입니까?