在我不知情的情况下,电脑会偷偷连接我的SMB服务器,
本片文章探究连接的来源。
火绒
高级防护->IP协议控制->默认阻止出站的对445端口的访问
需要访问SMB服务器的时候,再放行流量
在我不知情的情况下,电脑会偷偷连接我的SMB服务器,被火绒阻止后就会产生安全日志。
日志只会显示连接由SYSTEM进程发起,并不会显示发起连接的真正进程,而且连接的时间看不出什么规律。
Process Monitor
参考:
《Windows Sysinternals 实战指南》里的 案例:未知的NTLM连接
Process Monitor 设置 filter :path begins with \\ then include
勾选 Filter -> Drop Filtered Events ,设置丢弃无关事件
开始捕获事件
连接产生的时间随机,然后,就等吧。
注册表
等啊等,等了好久,火绒也没产生相应的日志,Process Monitor自然也没有捕获到相应的事件。
试了试在注册表搜索服务器的ip,
在 计算机\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Place MRU 发现了ip,
这个注册表项存放的是word最近浏览过的文件的路径。
打开本地任意一个word文件,winword.exe会访问SMB服务器,Process Monitor捕获到相应的事件。
清除word的历史记录后,再打开word,就不会访问SMB服务器了。
本次探究圆满结束。
参考链接:
word历史记录:有关文档历史记录的操作方法 - 知乎
https://zhuanlan.zhihu.com/p/64514286