我安裝了 Cygwin,並注意到自從我的公司開始使用 CrowdStrike Falcon 進行惡意行為檢測以來,運行“ls”、“grep”等簡單命令所需的時間比以前要長得多。在只有 4 個檔案的目錄中執行一個簡單的「ls」指令需要 2 到 10 秒。但它仍然在運行,只是需要很長時間才能吐出結果(在 2 到 10 秒的延遲結束時突然吐出結果)。
起初我以為 CrowdStrike Falcon 可能正在測試沙箱虛擬機中曾經運行(每次運行)的每個程式幾秒鐘,以確保它不會執行任何惡意操作...它可能正在做,但是...我自己在Visual Studio 上編寫的C++ 程式運行起來不需要那麼長時間。
所以我開始想知道,即使我在本地目錄上運行“ls”,Cygwin 也會透過網路出去嗎?因此,我對 IP 流量記錄了解不多,因此下載了 Sysinternals 的 TCPView(來自真實的https://docs.microsoft.com/en-us/sysinternals網站,而不是來自任何其他網站,這些網站很樂意提供 Sysinternals 工具的副本以及附加的他們自己的間諜軟體)。
TCPView 運行並按降序在 PID 列上排序,希望這能讓我更好地在頂部看到較新的進程,我從 Windows 命令提示字元運行 C:\cygwin\bin\ls。大約 5 秒鐘沒有任何反應,然後突然出現一條新行,大約一秒鐘後又出現兩行,進程名稱為“ls.exe”,顯示 UDP 流量。
當我的目前目錄位於本機 C: 磁碟機且我不帶參數執行 ls 時,為什麼 Cygwin 的 ls.exe 需要傳送 UDP 封包?