系统空闲进程下的有线 TCP/IP 通信

系统空闲进程下的有线 TCP/IP 通信

我使用 Process explorer 查看系统空闲进程的详细信息。在 TCP/IP 选项卡下,我发现有线通信

就像这样:

系统空闲进程有线 TCP/IP

我已经更新了 ESET Smart Security 9 的付费许可证,但它没有显示任何重要信息。但是当我转到远程地址(3dns-2.adobe.com)时,ESET 会阻止我。

输出如下:

html/refresh.bc 木马 eset

有什么重要的事情要注意吗?

你建议我做什么?

答案1

http://support.eset.com/alert5879/?viewlocale=en_US,你应该更新到病毒特征库版本13103或更高版本。或者向 ESET 实验室提交误报报告

如果在更新至 13103 或更高版本后触发检测,则它们应该是正确的。如果您不确定某个检测是否正常,请将其报告给 ESET 恶意软件研究实验室:

如何向 ESET 实验室提交病毒、网站或潜在的误报样本?

[关于 Process Explorer 上的 TCP 连接]

关于此主题没有官方文档,请参阅此线

但如果你测试netstat -a -n -o(请参阅此线)在命令提示符中,你会注意到连接时间的等待国有PID 0。此 IP 也应在 Process Explorer 上的系统空闲进程的 TCP/IP 选项卡下列出。

TIME_WAIT 的定义rfc793

TIME-WAIT - represents waiting for enough time to pass to be sure
the remote TCP received the acknowledgment of its connection
termination request.

PID 0这实际上不是一个过程,根据官方回答来自 msdn 版主:

是的,idle 的 PID 为 0,system 的 PID 为 4,但它们并不是真正的进程。其他进程的 PID 都是随机的。

回答你的问题:

  1. 它是正常行为如果你发现TCP 连接处于 TIME_WAIT 状态在下面系统空闲进程
  2. 我没有使用 ESET,也不知道它是如何检测到可疑连接的,但恕我直言,你应该仔细检查你的 DNS 设置,并使用命令检查nslookup 3dns-2.adobe.com以确保它不会返回有效的 IP。如果它确实返回了 IP,那么你应该做进一步的研究以确保它不是恶意 IP。[更新]另请参阅此主题

相关内容