Задать вопрос
@maxwolf

Что может инициировать запросы gethostbyname в чужих процессах?

Потребовалось тут помониторить DNS запросы одного процесса... Запустил DNSLookupView от NirSoft (не примяну ещё раз сказать ему спасибо за его утилиты!), помониторил, узнал что нужно, а DNSLookupView оставил ещё немного поработать.
Посмотрев же через некоторое время его логи, сильно удивился: процессы, которые в принципе не имеют кода работы с сетью (например, sleep.exe размером 4880 байт, и импортирующий только одну функцию Sleep() из kernel32.dll) периодически обращаются к системе с просьбами выдать IP адреса для разных хостов (например, sleep.exe спрашивал про mobile.events.data.microsoft.com, login.microsoftonline.com, gameplayapi.intel.com).

Собственно, вопрос: декларирует ли Microsoft в Windows 10 какую-либо "функциональность", которая может порождать такие заросы? Если да, то где про неё прочитать?

В качестве примера подобной "функциональности" могу привести работу "запускальщика процессов", который "изнутри" запускаемого процесса (под его PIDом) лезет читать Registry (например, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options).
  • Вопрос задан
  • 467 просмотров
Подписаться 2 Простой 3 комментария
Пригласить эксперта
Ответы на вопрос 1
@maxwolf Автор вопроса
Дело было не в бобине. Судя по всему, DNSLookupView неправильно определяет процесс, который обращается к DNS. И ошибается он в том случае, если на момент обработки события процесс уже завершился.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы