在完全隔离的测试网络上的锁定 Windows 7 测试箱中,我可以记录每个传入和传出的网络连接尝试。
然后我临时安装了PortableApps.com 版本的 SRWare Iron 网络浏览器,使用它连接到互联网上一个已知的网站,然后卸载它。如果您不熟悉,Iron 是一款基于 Chromium 的网络浏览器,类似于 Google Chrome,但删除了 Google 的一系列不良代码。
执行此操作后,Windows 会svchost.exe
定期尝试通过 TCP 连接到 Google 拥有的 IP 地址 (34.104.35.123) 的 443 端口。该连接被 Windows 过滤平台 (WFP) 阻止。有趣的是,它被默认系统过滤器阻止,而不是用户过滤器。换句话说,阻止该连接的过滤器没有出现在 Windows 防火墙过滤器列表中,但出现在wfpstate.xml
由 生成的列表中netsh.exe wfp show filters
。
在阻止对端口 443 的连接尝试后,尝试对同一 IP 地址上的端口 80 进行 TCP 连接。同样,它被系统过滤器阻止。这是有道理的,因为该服务可能首先尝试安全连接,然后尝试非安全连接。
该连接尝试序列每 60 秒重复一次。
我重新启动了盒子,并且这些精确的连接尝试每分钟都会持续存在。
svchost.exe
在我执行了广泛的服务隔离之后,我确定生成连接尝试的实际服务似乎是Schedule
(AKA Task Scheduler
)。
这个盒子只是一个测试盒子,暂时放置在一个完全隔离的测试网络上,所以我不担心任何事情(这个盒子很快就会重新格式化),但我想确切地了解发生了什么,以进一步了解 Windows 的内部工作原理。
我如何确定这些不必要的连接尝试的目的并阻止它们?
顺便说一句,我最初的直觉是,运行 Iron 会导致需要更新安全证书,而 Windows 却不断尝试更新该证书,尽管它实际上不再需要这样做。但如果是这样的话,我不明白为什么会阻止此类连接。我创建了 Windows 防火墙规则来允许该特定流量,但不可见的默认系统级防火墙过滤器继续阻止连接尝试。
答案1
IP 地址34.104.35.123
是
说
属于 YouTube,但我不确定这是否正确。
该地址属于该域名edgedl.me.gvt1.com
。
在文章中 这些可疑的 Google GVT1.com URL 是什么? 描述如下:
域名 *.gvt1.com 和 *.gvt2.com 及其子域名归 Google 所有,通常用于提供 Chrome 软件更新、扩展程序和相关内容。
您的怀疑似乎是正确的,这是 Iron 网络浏览器安装后留下的残留。
我会尝试重新安装 Iron,并且 Revo 卸载程序免费,然后使用 Revo 卸载 Iron。Revo 可以很好地追踪所有残留文件。
您还可以使用以下工具:
- voidtools 一切 扫描磁盘以查找任何剩余内容
- 注册扫描器 扫描注册表
- 自动运行 扫描所有启动项,包括任务计划程序中的启动项。