У меня установлен Cygwin, и я заметил, что с тех пор, как моя компания начала использовать CrowdStrike Falcon для обнаружения вредоносного поведения, выполнение простых команд, таких как 'ls', 'grep' и т. д., занимает гораздо больше времени, чем раньше. Например, от 2 до 10 секунд для простой команды 'ls' в каталоге, содержащем всего 4 файла. Но она все еще работает, просто ей требуется больше времени, чтобы выдать результаты (что она делает внезапно в конце задержки в 2–10 секунд).
Сначала я подумал, что, возможно, CrowdStrike Falcon тестирует каждую когда-либо запускаемую программу (каждый раз, когда она запускается) в изолированной виртуальной машине в течение нескольких секунд, чтобы убедиться, что она не делает ничего вредоносного... что, возможно, так и есть, но... мои собственные программы на C++, написанные в Visual Studio, не требуют для запуска так много времени.
Поэтому я начал задаваться вопросом, выходит ли Cygwin через сеть, даже когда я запускаю 'ls' в локальном каталоге? Поэтому я, не особо разбираясь в логировании IP-трафика, скачал TCPView от Sysinternals (с настоящегоhttps://docs.microsoft.com/en-us/sysinternalsвеб-сайт, а не какой-либо другой веб-сайт, который с радостью предоставляет копию инструментов Sysinternals вместе с их собственным шпионским ПО, прикрепленным для пущей убедительности).
Запустив TCPView и отсортировав по столбцу PID в порядке убывания, надеясь, что это даст мне больше шансов увидеть новые процессы наверху, я запустил C:\cygwin\bin\ls из командной строки Windows. Ничего не происходило около 5 секунд, затем внезапно появилась новая строка, а еще две строки появились примерно через секунду с именем процесса "ls.exe", показывая трафик UDP.
Зачем ls.exe Cygwin нужно отправлять UDP-пакеты, если мой текущий каталог находится на локальном диске C:, а я запустил ls без аргументов?