我一直在尝试强化我的网络,并采取了一些额外的安全预防措施,以便学习,也为了安全起见。我最近格式化并重新安装了 Windows 10,并在启用与我的计算机的互联网连接之前安装了 NetLimiter。
在此全新安装中,似乎 rundll32.exe (C:\windows\system32\rundll32.exe) 正在与 52.86.141.238:80 建立出站 TCP 连接,而该地址似乎归 amazon 所有。当实际浏览该网站时,它会将我带到 Logitech 的支持页面。我的 PC 上确实连接了 Logitech 摄像头,所以我想知道这是否是一个潜在原因?我将尝试在未连接摄像头的情况下重新启动,看看是否能阻止出站流量。发生这种情况对我来说似乎很奇怪,我想知道我可以做些什么来进一步调查。有没有办法查看哪个 DLL 实际触发了此出站连接?这是否是某种恶意软件,它通过亚马逊的托管将我引导到 Logitech 的网站?
真正让我感到困惑的是,如果我“ping support.logi.com”,它显示 IP 解析为 104.16.53.111,而不是 52.86.141.238。
谢谢您的帮助!
答案1
上面的评论对于附加命令很有帮助,但我将继续回答这个问题,以防有人提出确切的答案,或者至少提出一些相关的答案。
首先,rundll32.exe 是一个可执行程序,它允许在 Windows 内跨进程共享 DLL 函数。要使 rundll32.exe 建立出站 TCP 连接,必须有一个加载的 DLL 函数建立该连接。我能够使用 SysInternals 的 Process Explorer 查看 rundll32.exe 进程并查看运行以启动此进程的 cli 命令,对我来说,它显示了"C:\Windows\System32\rundll32.exe" C:\Windows\System32\LogiLDA.dll,LogiFetch。我现在知道这是LogiLDA.dll (Logitech Download Assistant)导致这种情况的原因,这支持了我上面的发现,并且足以让我允许连接并继续前进。我可以更进一步反编译 DLL 并查看内部函数,但这超出了我认为在这种特定情况下所必需的范围。
希望这可以帮助别人!