我安装了 Cygwin,并注意到自从我的公司开始使用 CrowdStrike Falcon 进行恶意行为检测以来,运行“ls”、“grep”等简单命令所花的时间比以前长得多。例如,在只有 4 个文件的目录中运行一个简单的“ls”命令需要 2 到 10 秒。但它仍在运行,只是需要很长时间才能输出结果(在 2 到 10 秒的延迟结束时它会突然输出结果)。
起初我以为 CrowdStrike Falcon 可能正在沙盒 VM 中测试每个运行过的程序(每次运行时)几秒钟,以确保它不会执行任何恶意操作......它可能正在执行,但是......我自己在 Visual Studio 上编写的 C ++ 程序不需要那么长时间才能运行。
所以我开始怀疑,即使我在本地目录上运行“ls”,Cygwin 是否也会通过网络出去?因此,我不太了解 IP 流量记录,下载了 Sysinternals 的 TCPView(来自真正的https://docs.microsoft.com/en-us/sysinternals网站,而不是来自其他任何乐意提供 Sysinternals 工具副本以及附加的自己的间谍软件的网站)。
在 TCPView 运行并按 PID 列降序排序的情况下,我希望这能让我更好地看到较新的进程排在最前面,我从 Windows 命令提示符运行了 C:\cygwin\bin\ls。大约 5 秒钟内什么都没发生,然后突然出现了一行新行,大约一秒钟后又出现了两行行,进程名称为“ls.exe”,显示 UDP 流量。
当我当前目录位于本地 C: 驱动器上,并且我运行没有参数的 ls 时,为什么 Cygwin 的 ls.exe 需要发送 UDP 数据包?