ECAgent
ECAgent.exe是EascyConect的"流氓"组件之一,并不会随着主程序的关闭而关闭。由服务SangForSP保护,如果不停止服务,无法杀死该进程,其在任务管理器的进程名为“Agent for EasyConnect”。
ECAgent 频繁调用CheckNetIsolation.exe
最近配置了hips,针对EasyConnect的操作之一是阻止其和组件访问和调用它们安装根目录之外的文件和程序。然后发现在EasyConnect启动后,频繁触发这一规则,每次的日志都是下面这样的组合(时间倒序):
| 应用程序 | 操作 | 目标 | 操作 |
|---|---|---|---|
| C:\Program Files (x86)\Sangfor\SSL\Promote\SangforPromoteService.exe | 启动新应用程序 | C:\Program Files (x86)\Sangfor\SSL\ECAgent\ECAgent.exe | 已允许 |
| C:\Program Files (x86)\Sangfor\SSL\Promote\SangforPromoteService.exe | 启动新应用程序 | C:\Program Files (x86)\Sangfor\SSL\ECAgent\ECAgent.exe | 已允许 |
| C:\Program Files (x86)\Sangfor\SSL\ECAgent\ECAgent.exe | 启动新应用程序 | C:\windows\SysWOW64\CheckNetIsolation.exe | 已阻止 |
| C:\Program Files (x86)\Sangfor\SSL\ECAgent\ECAgent.exe | 启动新应用程序 | C:\windows\SysWOW64\CheckNetIsolation.exe | 已阻止 |
同时查看了ECAgent自身的日志"ECAgent.exe.log"(SangforPromoteService并没有找到相关的日志),发现在触发hips的几毫秒之前,会有如下操作
[ECAgent.exe:9880:7928][INFO] querystr op=DoQueryService&arg1=QUERY%20LOGINSTATUS&type=EC&token=xxxx&callBack=cb10142
[ECAgent.exe:9880:7928][INFO][DeliverWebCmd:165] begin, OP = DoQueryService
[ECAgent.exe:9880:7928][INFO][DeliverWebCmd:225] complete, OP = DoQueryService
该行为的关联性
CheckNetIsolation .exe相关描述:
CheckNetIsolation 是 Windows 操作系统中的一个命令行工具,用于管理 UWP 应用(Universal Windows Platform,通用Windows平台应用)的网络隔离设置。该工具主要用于配置应用程序是否允许访问本地网络资源(如本地回环地址 127.0.0.1),并排查与网络相关的问题。UWP 应用由于其安全架构,默认情况下受到网络隔离保护,无法直接访问本地网络资源。这有助于保护系统免受潜在的安全威胁,但在某些情况下,应用可能需要访问本地网络服务(例如开发人员调试时需要访问本地服务器)。CheckNetIsolation 允许开发人员或管理员为指定应用解除网络隔离限制。
并不知道DoQueryService是干什么的,是否就和hips的触发是因果关系。但这个方法的调用频率相当高,达到了1次/s,而hips则是每秒触发多次,不排除该方法内部重试的可能。禁止ECAgent调用CheckNetIsolation后,并没影响EasyConnect作为vpn的正常使用。
对该行为的疑问
不知道ECAgent调用CheckNetIsolation具体用来做什么,因为即使阻止了这一操作也没影响EasyConnect的正常使用,即使是描述中的控制网络隔离,也不知道具体表现是什么。考虑其每秒触发的频繁,如果该行为是否安全(不收集用户的网络信息,例如QQ会调用ipconfig.exe和arp.exe)
