在最近更新了一些 AV/FW 软件(Comodo)并重新启动计算机后,我被大量警告所震惊,这些警告表明应用程序“x”(其中“x”几乎是我尝试运行的所有程序)尝试建立到地址 224.0.0.252(或有时是相同范围内的类似地址)的传出连接。即使它是我刚刚创建的一些虚拟应用程序,或者任何与互联网无关的应用程序。除此之外,“系统”进程本身也会尝试发送这些 IGMP 请求以及请求。平均每分钟 5 个连接。端口 137 和 138 UDP 上的流量也有所增加(或 FW 更新触发了过度敏感),我通过禁用 NetBIOS 解决了这个问题。
我的问题是:这可能是什么原因造成的?这是正常的吗?我的防火墙是否对最新更新过于敏感,警告我 Windows 内部经常发生的一些问题?或者我可能发现了一些恶意软件(Comodo/Spybot Search and Destroy 似乎没有引起任何警示)。我还可以使用什么来检查/清除系统中可能通过当前 AV.FW(Comodo)应用的威胁?
- - -编辑 - - -
到目前为止,新安装的系统的所有更新似乎都以完全相同的方式运行,只是强度较低。使用 Windows Defender 离线扫描未发现任何问题。
我基本上没有主意了,仍然想知道它是否由最近的系统更新或错误的防火墙软件引起。如果它是由某些 rootkit 引起的,如何发现并摆脱它。
答案1
这听起来像是你感染了恶意软件。如果你感染了病毒/木马/间谍软件,DLL 注入在注入的 DLL 中,它会回调到您看到的 IP 地址,您将看到您正在经历的那种行为。
这也可能是合法程序的更新出了问题,这可以解释为什么防病毒软件没有发现它,但这种可能性不大。
我建议你去另一台你知道没有感染的电脑上下载Windows Defender 脱机。这将允许您制作可启动 CD/USB(如果您制作可启动 USB,则可以在插入驱动器的情况下再次运行安装程序来更新病毒定义),并且它将在不启动操作系统的情况下扫描您的计算机是否存在感染,这样,如果感染阻止病毒扫描程序查看受感染的文件,则在 Windows 之前启动(并且在病毒可以挂接之前),离线扫描可以看到隐藏的文件。
答案2
224.0.0.252 用于同一本地链接上的名称解析法律硕士
根据互联网号码分配机构:
多播路由器不应转发任何目标地址在此范围内的多播数据报,无论其 TTL 如何。
这意味着发送到 224.0.0.252(多播地址)的数据包的范围被限制为防止启用多播的路由器将查询消息转发到最初发送该消息的子网之外。
这些传输的目的是解析名称(就像 DNS 所做的那样)。当 DNS 委托无法解析名称时,它会解析本地子网上的单个标签名称(例如:MYCOMPUTR)。如果您处于 Ad-Hoc 网络场景中,或者 DNS 条目不包含本地子网上的主机,这将非常有用。
因此,如果你在一条不可路由的私有网络,这些数据包将仅被正在侦听它们的本地计算机(已配置为)看到Network Discovery。侦听器通过侦听将了解到计算机的名称。
您可以在注册表中搜索EnableMulticast,它通常位于 HKLM Windows 软件分支下。如果将其设置为零,这些数据包应该会停止。
如果您使用的是 IPv4,您的本地计算机可能能够使用 TCP/IP 上的 NetBIOS 进行名称解析,但由于该功能在 IPv6 上不起作用,因此 LLMNR 将接管。