直列つなぎ。 -とある発達障害者の記録

知識と知識を繋ぐためのblog。 広汎性発達と診断されました。ぜんぜん役に立ってないけど。月収13万円、家賃4万円で生活するひつじ人間。

NetStatausMonitor で検出されたプロセス一覧

ブログパーツ


更新履歴

 9/30 dnx.exe add. geek uninstaller項目追記。
  10/01  Maps.exe  add.
 10/02 taskhostw.exe add
     Music.UI.exe add
 10/03 HxTsr.exe   add
 10/05 smartscreen.exe add
 10/06 unity.exe add
 10/08 SpeechRuntime.exe add
           引用を追記
 10/09  Wermgr.exe 
             PilotshubApp.exe  add 



ウィルスを通信から発見するツール NetStatusMonitor
 http://www.asahi-net.or.jp/~tz2s-nsmr/NetStatusMonitor.html
                                 より

簡単な使い方  引用
15、本物のウィルスでなくても、通信機能のあるフリーソフトなどのファイル名をsvchost.exeとコピーして起動すれば感染状態をシミュレートできます
この例では、C:\000\TVToolWeb\NET2\TVToolWeb.exeというファイルをC:\000\TVToolWeb\NET2\svchost.exeとファイル名だけ
svchost.exeにコピーして通信した際にNetStatusMonitorが検出した画面例です(本物の詐称ウィルスもこの形で自動検出可能です)


16、ウィルス感染の典型的な例としてはもう1つ、クライアントポートにおいて「状態」が「SYN_SENT」の物が多数発生する
ケースというのがあり、この状態もNetStatusMonitorは自動検出する事が可能です


(※)除外リストに入っていても「SYN_SENT」は検出され、(正常な通信のケースもあるので)、SYN_SENTのログが10個以上あった場合だけ画面がピンク色に表示されます


4、尚、通常の通信でもいくつかのプロセスがSYN_SENT状態になっている事がありますが、除外済みの安全なプロセスで数個のSYN_SENTが発生するのは通常の状態なので特に警告は出しません(画面には表示が残りますが、アイコン時の
ポップアップ表示などはされません)

 

 SYN_SENTやESTABLISHED等の状態解説
信頼性のある通信を実現するTCPプロトコル(3) (3/4)
http://www.atmarkit.co.jp/ait/articles/0402/13/news096_3.html




 これ、本当にウイルスの通信まで検出するの?みたいな疑問がある。上手いこと掻い潜ってくるんじゃ・・・・・
とりあえず以下の様に列挙していく。
とにかく何でも検出する。
後で表にでもするか。


IP Address
・Microsoft 
                 
13.107.21.200
                  111.221.29.193,
                  111.221.29.253,
      
 Jupiter Telecommunication
            116.223.185.6
                116.223.189.94
                  116.223.202.244
            

※一応、各プロセスをwindows defender やAVGに掛けてチェックしています。


SYN_CENTなプロセスとIP(赤色:作者サイト上で警告している状態)
 ※
SYN_CENT閾値を5に設定しているため赤色表示されやすい。
 ※今後はこちらに絞って更新。どこまであてになるのか不明なのだが。
 ・firefox
      - CLOUDFLARENET 104.25.252.96 
      - SAKURA Internet Inc.  59.106.194.17
     




・ActionUriServer.exe  Microsoft Corporation (MSFT) -  https://whois-search.com/whois/13.107.21.200


・CompanionApp.exe     -  https://whois-search.com/whois/116.223.185.61
Jupiter Telecommunication Co. Ltd   プロバイダ系 jcomのネット無料物件なので。


・CompatTelRunner.exe  ーhttps://whois-search.com/whois/111.221.29.253
111.221.29.0 - 111.221.29.255     Microsoft Corp, Singapore
111.0.0.0 - 111.255.255.255     Asia Pacific Network Information Centre  


・C:\Users\user\.dnx\runtimes\dnx-clr-win-x86.1.0.0-beta5\bin\dnx.exe
   Internet Assigned Numbers Authority (IANA)
  ーhttps://whois-search.com/whois/127.0.0.1  

・HxTsr.exe   -https://whois-search.com/whois/198.41.215.182
               CloudFlare
          -https://whois-search.com/whois/111.221.29.253
                Microsoft Corp, Singapore


・InstallAgentUserBroker.exe  -Microsoft 関連 
               -https://whois-search.com/whois/111.221.29.193



・Maps.exe  ーhttps://whois-search.com/whois/116.223.189.94
           Jupiter Telecommunication
         ーhttps://whois-search.com/whois/23.34.49.8
                       ーhttps://whois-search.com/whois/198.41.215.183

・Music.UI.exe ーhttps://whois-search.com/whois/116.223.202.244
    Jupiter Telecommunication Co. Ltd


C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe  -
216.58.192.0 - 216.58.223.255   GOOGLE

・PlacesServer.exe   -https://whois-search.com/whois/13.107.21.200 Microsoft Corporation (MSFT)


・onenoteim.exe    -https://whois-search.com/whois/198.41.215.182 CloudFlare
 98.41.128.0 - 198.41.255.255 


・ PilotshubApp.exe  -https://whois-search.com/whois/104.41.162.72 
 Microsoft

・ SkypeHost.exe       - https://whois-search.com/whois/157.56.52.12 
   Microsoft Corporation (MSFT)


・smartscreen.exe   -https://whois-search.com/whois/5.79.86.25
 LEASEWEB -https://en.wikipedia.org/wiki/LeaseWeb

・SpeechRuntime.exe
            ーhttps://whois-search.com/whois/111.221.29.253
   Microsoft Corp, Singapore

・svchost.exe 
Microsoft
 -https://whois-search.com/whois/13.107.4.50
 -https://whois-search.com/whois/111.221.29.213

・sway.exe    - https://whois-search.com/whois/117.18.237.191 
  EdgeCast Networks Asia Pacific Network


・taskhostw.exe  ーhttps://whois-search.com/whois/23.59.139.27
 Akamai Technologies 
 

・wmplayer.exe  ー https://whois-search.com/whois/61.25.1.184
  Jupiter Telecommunication Co. Ltd

    
・C:\Program Files\WindowsApps\9E2F88E3.Twitter_5.3.2.0_x86__wgeqdkkx372wm\Twitter.Windows.exe  -企業名:EdgeCast Networks Asia Pacific Network  117.18.232.0 - 117.18.239.255  Whois:https://whois-search.com/whois/117.18.237.29



・Unity.exe    ーhttps://whois-search.com/whois/127.0.0.1 
Internet Assigned Numbers Authority (IANA)  
      
         ーhttps://whois-search.com/whois/54.254.159.108
Amazon Data Services Japan
Amazon Technologies Inc.

          ーhttps://whois-search.com/whois/62.116.219.115
Unity Technology ApS


・UnityShaderCompiler.exe
        -https://whois-search.com/whois/127.0.0.1

・wermgr.exe    ーhttps://whois-search.com/whois/65.55.252.43 
 Microsoft  

・Windows.Media.BackgroundPlayback.exe 
  -https://whois-search.com/whois/116.223.202.244
    Jupiter Telecommunication Co. Ltd



ブラウザ・フリーソフトその他



・firefox.exe         -https://whois-search.com/whois/8.36.113.189 企業名: Level 3 Communications  -https://en.wikipedia.org/wiki/Level_3_Communications
             Japan Network Information Center  210.160.0.0 - 210.175.255.255   ーhttps://whois-search.com/whois/210.160.193.170
                            ーhttps://whois-search.com/whois/216.58.220.163
                        ーhttps://whois-search.com/whois/23.44.155.27
AKAMAI
       ーhttps://whois-search.com/whois/121.94.171.150
FUJITSU LIMITED
      -https://whois-search.com/whois/111.221.29.253


・geek uninstaller  -http://www.geekuninstaller.com/download(レビュー http://forest.watch.impress.co.jp/library/software/geekuninst/  Windows ストアアプリのアンインストールに対応した「GeekUninstaller」v1.4) - 製作元の会社充てに、使用したことを通信しているのでは。
会社 https://en.wikipedia.org/wiki/Linode :https://www.linode.com/
 IPアドレスはログれなかった。 ちなみにぜひ入れるべきフリーソフトの一つ。





 なぜこういったプロセスが、Microsoft以外の会社と通信しているのか・・・・提携とか契約とかそんなのがあるんだろう。


 

このソフトの欠点

 折角検出されても、すぐに更新されて項目が一覧から消えてしまう事。

これじゃログりようがない? 
作者に要望出そうかなーと。
ログファイルは何かゴチャゴチャで分かりづらいし。

 netmonitor.jpg
 検出したものを右クリックで「詳細情報」を出しておくと消えないようです。その間、新たに検出はされないらしい。


 
Glaswireでプロセスの通信をシャットアウト

  https://www.glasswire.com/  レビュー:http://forest.watch.impress.co.jp/docs/review/665075.html


 20160929-031611.jpg


 Firewall機能があるので、プロセスごとの通信を完全にシャットアウト出来ます。便利。

実は必要な通信である事も多いので、無暗にブロックするとトラブったときに困るかも知れません。覚えとけばいいんだけどね。


 IP毎の通信量まで見ることが出来ます。



GlassWireのログ(NetstatusMonitorで検知していない?プロセスも含まれる)

特におかしなプロセスは見当たらない。

20161012-GlassWire.jpg




 Peerblock(http://forums.peerblock.com/)で特定範囲におけるIPアドレスからのアクセスをブロックすることも可能。ブロックされるとログが表示されるのだが、実際はJupiterなどを登録しても殆ど出ないため、特に気にする必要はないのかもしれない。 

 NetStatausMonitor側では検知されなくなった気はする。



登録したリスト

 20161012-020818.jpg




最近引っかかったログ。

20161012-020949.jpg





 

関連記事
スポンサーサイト

 Category: None

0 Comments

Leave a comment