被McAfee阻塞的危险连接

Question

McAfee一直在阻止来自某个IP地址的连接(我发现IP地址来自香港)。我应该担心吗？McAfee说这个程序是“系统”。另外，如果我应该担心，我能做些什么呢？

Answer 1

如果连接起源于您的计算机，则应调查

的原因。

确定哪个进程正在尝试连接

系统内件套房中有几个工具可以帮助您理解是什么程序建立了连接。TCPView程序可能会向您展示连接的尝试，但据我所知，它基本上只是netstat上的GUI，因此您可能会错过连接。

process (ProcMon)工具将捕获与网络连接、文件系统和注册表(等等)有关的许多不同类型的事件。此页有关于如何使用ProcMon跟踪到负责进程的网络连接的详细信息。

此外，您还可以使用新的sysmon工具。此页有一些关于如何设置和使用sysmon的详细信息。

一旦确定了发送连接的进程，就可以使用process将程序提交给Virus。病毒道达尔将扫描样本跨越几十个AV产品。没有发现恶意签名并不一定意味着它是良性的，但它是一个良好的开端。启动procexp.exe作为管理员，通过它的PID定位进程，然后右击选择"Check VirusTotal“。

确定进程试图发送什么

的

使用像wireshark这样的程序，您可以确定程序试图发送的内容。如果McAfee阻塞了连接，那么就不会发送任何东西，因为连接被阻塞了。但是，如果您能够确定所使用的DNS条目(如果其中一个正在使用)，那么您可以将编辑您的主机文件发送到本地主机。然后，您可以设置一个临时的set服务器(我喜欢使用python的python -m SimpleHTTPServer 80)来允许建立连接。

遵循传统的恶意软件调查实践

如果无法跟踪网络连接，请按照传统方法确定您的计算机是否感染了恶意软件。这个职位有许多领域需要研究。此外，您还可以使用诸如波动性之类的工具来调查计算机内存。如果使用了rootkit来隐藏过程，波动性就会特别有用。