首页 > 其他 > 详细

莫名的SMB连接

时间:2020-10-16 10:17:16      阅读:26      评论:0      收藏:0      [点我收藏+]

在我不知情的情况下,电脑会偷偷连接我的SMB服务器,
本片文章探究连接的来源。

火绒

高级防护->IP协议控制->默认阻止出站的对445端口的访问

需要访问SMB服务器的时候,再放行流量

技术分享图片

在我不知情的情况下,电脑会偷偷连接我的SMB服务器,被火绒阻止后就会产生安全日志。
日志只会显示连接由SYSTEM进程发起,并不会显示发起连接的真正进程,而且连接的时间看不出什么规律。

Process Monitor

参考:
《Windows Sysinternals 实战指南》里的 案例:未知的NTLM连接

Process Monitor 设置 filter :path begins with \\ then include
勾选 Filter -> Drop Filtered Events ,设置丢弃无关事件
开始捕获事件

技术分享图片

连接产生的时间随机,然后,就等吧。

注册表

等啊等,等了好久,火绒也没产生相应的日志,Process Monitor自然也没有捕获到相应的事件。

试了试在注册表搜索服务器的ip,
在 计算机\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Place MRU 发现了ip,
这个注册表项存放的是word最近浏览过的文件的路径。

打开本地任意一个word文件,winword.exe会访问SMB服务器,Process Monitor捕获到相应的事件。
清除word的历史记录后,再打开word,就不会访问SMB服务器了。

本次探究圆满结束。

参考链接:
word历史记录:有关文档历史记录的操作方法 - 知乎
https://zhuanlan.zhihu.com/p/64514286

莫名的SMB连接

原文:https://www.cnblogs.com/dongpohezui/p/13823870.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!