我正在运行 64 位 Windows 7。
我可以通过运行来查看建立了哪些网络连接netstat -anb。这告诉我“系统”建立了许多连接。
有没有办法进一步深入研究这个问题以确定这些联系存在的原因?
答案1
从某种意义上来说,“系统”就是 Windows 内核。从用户空间来看,Windows 内核基本上是不透明的,您无法检查其子系统或驱动程序的行为。它可能是:
- 设备驱动程序,例如 VPN 或 netfil 驱动程序
- 恶意软件/病毒/rootkit
- 某种具有内核驱动程序的数据包捕获软件
- 一些系统服务被移入内核,比如用于视频播放的 DRM
根据所连接的远程主机,您应该能够确定它是否是恶意的。如果它只是连接到本地主机或本地子网(例如 127.x、10.x 或 192.x),我不会担心。如果它连接到您不熟悉的公共 Internet 上的远程主机,尤其是如果它们有域名或指向域名的反向 DNS 条目,您可能会担心,具体取决于这些域是什么。