Что может вызывать выполнение запросов gethostbyname в других процессах?

Question

Эльдар

вирусы , windows

Что может вызывать выполнение запросов gethostbyname в других процессах?

Я хотел бы узнать о том, существуют ли в Windows 10 какие-либо официально декларированные функции от Microsoft, которые могут вызывать такие DNS-запросы со стороны процессов, не предназначенных для работы с сетью (например, таких как sleep.exe, который выполняет только функцию Sleep() из kernel32.dll). Если такие функции есть, где можно с ними ознакомиться? 

Как пример подобной функциональности можно привести работу "запускальщика процессов", который инициирует доступ к реестру из контекста запущенного процесса (по его PID) для чтения данных из HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options.

21 апреля 2025 г. 9:25

Ответы на вопрос 2

Похожие вопросы

Answer 1

В Windows 10 существуют определенные функции и механизмы, которые могут вызывать сетевые запросы, включая DNS-запросы, из процессов, не предназначенных для работы с сетью. Хотя Microsoft не предоставляет официального документа, который бы детализировал все возможные случаи, есть несколько аспектов и функций, о которых стоит упомянуть:

1. **Система разрешения имен**: В Windows существует система, которая может вызывать DNS-запросы для разрешения имен, если используется что-то, что требует идентификации по сети. Например, если процесс пытается открыть файл через UNC-путь (например, `\\server\share`), это может вызвать разрешение имени до того, как сетевой доступ будет осуществлен.

2. **Обращения к API**: Некоторые API могут не напрямую указывать на сетевую функциональность, но на самом деле могут вызывать DNS-запросы в зависимости от того, как они используются. Например, функции, работающие с URL или доступом к интернет-ресурсам, могут инициировать DNS-запросы в фоновом режиме.

3. **OLE и COM**: Процессы, использующие технологии OLE и COM, могут инициировать сетевые запросы при взаимодействии с другими компонентами, что может включать в себя разрешение имен для доступа к удаленным объектам или сервисам.

4. **Кэши и настройки**: Система может также выполнять запросы путем проверки кэша или параметров настройки, которые указывают на недоступные ресурсы.

5. **Интеграция с другими сервисами**: Некоторые процессы могут зависеть от служб или фоновых процессов, которые используют DNS, и вызывать запросы косвенно.

**Документация и исследования**: Вы можете ознакомиться с официальной документацией Microsoft для разработчиков. Например, разделы о функциях Windows API, таких как `GetHostByName`, `GetAddrInfo`, и внешние библиотеки, которые могут проявлять подобное поведение, могут дать понимание о триггерах. Документация по разработке приложений для Windows, а также области работы с сетью (https://docs.microsoft.com/en-us/windows/win32/api/) может содержать важную информацию.

Также, вы можете использовать инструмент **Process Monitor (ProcMon)** от Sysinternals для отслеживания активности процессов и выяснения, какие процессы и API вызывают DNS-запросы. Это может помочь вам идентифицировать, какие именно функции или вызовы приводят к нежелательным сетевым запросам.

Answer 2

Дело было не в бобине. Судя по всему, DNSLookupView неправильно определяет процесс, который обращается к DNS. И ошибается он в том случае, если на момент обработки события процесс уже завершился.