出現大量7680端口的内網連接配接,百度未找到端口資訊,需證明為系統服務,否則為蠕蟲
1、 确認端口對應程序PID
netstat -ano
7680端口對應pid:6128
2、 查找pid對應程序
tasklist | find "6128"
對應程序為svchost.exe ,為系統服務程序,是從動态連結庫 (DLL) 中運作的服務的通用主機程序名稱,許多服務通過注入到該程式中啟動,是以會有多個該檔案的程序。說明程序是從服務啟動的,去找對應的服務。
3、 通過tasklist /svc 查找對應pid 6128的服務名稱:
服務名為:DoSvc ,進入“服務”查找該服務,但是你可能會找不到該服務,因為上面找到的是“服務名稱”,而管理工具“服務”裡顯示的是“顯示名稱”,如下圖
4、 可以通過指令查找對應的“顯示名稱”
wmic service where name = "dosvc" get displayname
得到“顯示名稱”:Delivery Optimization
5、 微軟查詢得到Delivery Optimization為Windows10更新檔更新的一種模式叫“傳遞優化”,内網主機可以從已經下載下傳的主機裡下載下傳更新檔,同時也就占用了你主機的網速,神坑
關閉該端口: “更新”-“進階選項”中-“傳遞優化”-“關閉允許從其他電腦下載下傳”
許多後門也是利用“服務”來加載程序,造成程序裡無法直接檢視到主程序名