Svchost Windows tarafından geliştilen exe,dll gibi uzantılı dosyaların çalışmasını sağlayan bir servis olup task manager yada monitör de çalıştırılan username kısmı localhost,system,network haricinde kullanıcı isimli ise muhtemel virüs tehdidi vardır. Ayrıca ağ da firewall cihazı olmadan çokta başarılı log sistemi sağlıklı olmucaktır. Port olayı ise 65000 gibi bir port sayısı vardır bilgisayarlarda, çıkış portları rasgele Seçilir siz internete 443 sen gitmezsiniz de 4578 da gidebilirsiniz. Ama gelirken 443 den gelebilir. İlk aklıma bunlar geldi İyi çalışmalar K.Emre KOCAMAN Sistem Ağ Mühendisi Metunet Bilgisayar
6 Eki 2017 Cum, saat 11:23 tarihinde Ceylan BOZOĞULLARINDAN < [email protected]> şunu yazdı: > Merhaba, > > Windows'un Resource Monitor penceresinden hareketleri incelerken, > svchost.exe 'nin 40.77.229.86 ve 40.77.229.89 adreslerine 443 portu ile > eriştiğini gördüm. Makinemden çıkış yapılan yerel portlar 54518, 54477. > > [image: Satır içi resim 1] > > *Soru 1.* Bu hareketler şüpheli mi? Şüpheliyse ne yapmalı? > > *Soru 2.* Antivirüs, firewall vb. araçlar olmadan şüpheli hareketleri > nasıl gözlemleyebilirim? Ağ hareketlerini gözlemlemek yeterli midir? > Yeterli ise detaylı analiz nasıl yapabilirim? Bu konuyla ilgili > önerebileceğiniz kitap veya kitaplar var mıdır? > > İyi çalışmalar, > > > > ------------------------------------------------- > Normshield Free Threat Intelligence Services > > https://services.normshield.com > > -------------------------------------------------
------------------------------------------------- Normshield Free Threat Intelligence Services https://services.normshield.com -------------------------------------------------
