我刚刚通过使用 TCPView 发现我的一个 svchost.exe 在“CLOSE_WAIT”状态下与一个陌生的 IP 地址建立了 http 连接,尽管没有其他可见的程序在运行。
在 Process Explorer 的帮助下,我发现这个 svchost 正在使用 WebClient Windows 服务。
我想知道如何找出哪个程序使用 WebClient 连接到这个 IP,以确定它是否是恶意软件。
答案1
嗯,你可以用这种方法找到它:
- 找出它正在访问的目的端口。
- 谷歌一下该端口,找到相关的信息,比如协议,程序。
- 如果这不能解决您的问题,请详细分析数据包。
答案2
Webclient 是一项 Microsoft 服务,允许 Windows 使用类似 Explorer 的界面访问基于 Web 的文件。除非您需要类似 WebDAV 的远程网站访问,否则无需使用该服务。真的没有理由怀疑它是恶意软件。您是否考虑过禁用该服务?[以下是一些有用的详细信息] (http://www.theeldergeek.com/webclient.htm)。这显然不是一个有用的链接,可能是垃圾邮件