Svchost.exe 和 lsass.exe 监听非系统端口,事件 861

tag-icon tag-icon windows security firewall
Svchost.exe 和 lsass.exe 监听非系统端口,事件 861

我们有一个工作站的安全日志已满。原因是不断出现事件 861,即 Widows 防火墙阻止进程 svchost.exe 和 lsass.exe 通过 UDP 监听非系统端口。非系统端口是指高端口号端口,例如 1500、3000、6000(不限于这些)。

服务主机进程究竟为什么会监听通常由 UDP 程序使用的端口?

我使用 3 种不同的反恶意软件工具扫描了感染情况,但一无所获。这看起来像是感染,但未发现任何感染。我正在调查哪些进程实际上在监听的进程 ID 下运行。稍后我将发布这些服务。

答案1

你试过跑步吗当前端口看看 svchost 和 lsass 是否正在向任何外部 IP 回拨?您甚至可以将其与 IP 到国家/地区查找表结合使用,以识别远程国家/地区。如果确实存在此类流量,那么这将支持您对感染的怀疑。

我也会跑进程探索器查看有关创建的线程的更多详细信息,看看是否有帮助。

相关内容