如何确定特定 Windows 服务的连接尝试的原因?

如何确定特定 Windows 服务的连接尝试的原因?

在完全隔离的测试网络上的锁定 Windows 7 测试箱中,我可以记录每个传入和传出的网络连接尝试。

然后我临时安装了PortableApps.com 版本的 SRWare Iron 网络浏览器,使用它连接到互联网上一个已知的网站,然后卸载它。如果您不熟悉,Iron 是一款基于 Chromium 的网络浏览器,类似于 Google Chrome,但删除了 Google 的一系列不良代码。

执行此操作后,Windows 会svchost.exe定期尝试通过 TCP 连接到 Google 拥有的 IP 地址 (34.104.35.123) 的 443 端口。该连接被 Windows 过滤平台 (WFP) 阻止。有趣的是,它被默认系统过滤器阻止,而不是用户过滤器。换句话说,阻止该连接的过滤器没有出现在 Windows 防火墙过​​滤器列表中,但出现在wfpstate.xml由 生成的列表中netsh.exe wfp show filters

在阻止对端口 443 的连接尝试后,尝试对同一 IP 地址上的端口 80 进行 TCP 连接。同样,它被系统过滤器阻止。这是有道理的,因为该服务可能首先尝试安全连接,然后尝试非安全连接。

该连接尝试序列每 60 秒重复一次。

我重新启动了盒子,并且这些精确的连接尝试每分钟都会持续存在。

svchost.exe在我执行了广泛的服务隔离之后,我确定生成连接尝试的实际服务似乎是Schedule(AKA Task Scheduler)。

这个盒子只是一个测试盒子,暂时放置在一个完全隔离的测试网络上,所以我不担心任何事情(这个盒子很快就会重新格式化),但我想确切地了解发生了什么,以进一步了解 Windows 的内部工作原理。

我如何确定这些不必要的连接尝试的目的并阻止它们?

顺便说一句,我最初的直觉是,运行 Iron 会导致需要更新安全证书,而 Windows 却不断尝试更新该证书,尽管它实际上不再需要这样做。但如果是这样的话,我不明白为什么会阻止此类连接。我创建了 Windows 防火墙规则来允许该特定流量,但不可见的默认系统级防火墙过滤器继续阻止连接尝试。

答案1

IP 地址34.104.35.123 属于 YouTube,但我不确定这是否正确。

该地址属于该域名edgedl.me.gvt1.com

在文章中 这些可疑的 Google GVT1.com URL 是什么? 描述如下:

域名 *.gvt1.com 和 *.gvt2.com 及其子域名归 Google 所有,通常用于提供 Chrome 软件更新、扩展程序和相关内容。

您的怀疑似乎是正确的,这是 Iron 网络浏览器安装后留下的残留。

我会尝试重新安装 Iron,并且 Revo 卸载程序免费,然后使用 Revo 卸载 Iron。Revo 可以很好地追踪所有残留文件。

您还可以使用以下工具:

相关内容