我使用 Process explorer 查看系统空闲进程的详细信息。在 TCP/IP 选项卡下,我发现有线通信
就像这样:
我已经更新了 ESET Smart Security 9 的付费许可证,但它没有显示任何重要信息。但是当我转到远程地址(3dns-2.adobe.com)时,ESET 会阻止我。
输出如下:
有什么重要的事情要注意吗?
你建议我做什么?
答案1
据http://support.eset.com/alert5879/?viewlocale=en_US,你应该更新到病毒特征库版本13103或更高版本。或者向 ESET 实验室提交误报报告。
如果在更新至 13103 或更高版本后触发检测,则它们应该是正确的。如果您不确定某个检测是否正常,请将其报告给 ESET 恶意软件研究实验室:
[关于 Process Explorer 上的 TCP 连接]
关于此主题没有官方文档,请参阅此线。
但如果你测试netstat -a -n -o(请参阅此线)在命令提示符中,你会注意到连接时间的等待国有PID 0。此 IP 也应在 Process Explorer 上的系统空闲进程的 TCP/IP 选项卡下列出。
TIME_WAIT 的定义rfc793:
TIME-WAIT - represents waiting for enough time to pass to be sure the remote TCP received the acknowledgment of its connection termination request.
PID 0这实际上不是一个过程,根据官方回答来自 msdn 版主:
是的,idle 的 PID 为 0,system 的 PID 为 4,但它们并不是真正的进程。其他进程的 PID 都是随机的。
回答你的问题:
- 它是正常行为如果你发现TCP 连接处于 TIME_WAIT 状态在下面系统空闲进程。
- 我没有使用 ESET,也不知道它是如何检测到可疑连接的,但恕我直言,你应该仔细检查你的 DNS 设置,并使用命令检查
nslookup 3dns-2.adobe.com以确保它不会返回有效的 IP。如果它确实返回了 IP,那么你应该做进一步的研究以确保它不是恶意 IP。[更新]另请参阅此主题。