SCS之ccproxy.exe 开大量莫名奇妙的并发连接

本机已装SCS(Symantec Client Security)。并曾经用EvID4226patch破解了xp的tcpip.sys， 以支持大数量的半开连接。 但是近日同时开emule & BT疯狂下载，居然出现了蓝屏，以前连续一周开emule都没问题的。

 

1. 检查并发数 netstat -an | find /C /I "ESTABLISHED" ， established状态数 千， 应该没问题

2. emule.exe bitcomet.exe 开的也不多。

3. 居然发现 ccproxy.exe 开了 数百个连接，而且不停的SYN_SENT包，而且对方都是http端口，不解

4. 禁用ClientFirewall ， 关闭ccproxy.exe中注册的系统服务。

5. 连续下载两天以上，没问题

 

解决了。

 

遗留问题：

 

1.  ccproxy.exe是 SCS的组件(Symantec Common Client HTTP Proxy)，且停止该服务后，ClientFirewall无法启动， 一直关闭fw也不安全啊，如何保持fw开启？

2. 为何ccproxy.exe 要开这么多连接？ 看连接信息都很像 backdoor 的

 

 

 

 

 

评论

1 楼 explorer 2008-12-01  

后来仔细看了连接信息， 原来都是本地http访问产生的。

ccproxy拦截了原应用的http访问，将其指向ccproxy Listen的端口，然后ccproxy再重connect到 原目的， 相当于强制代理。

这样原本一个连接 就产生了两个establish， 和双倍的FIN_WAIT 等

SCS为何要这样实现防火墙呢？ 这样效率低啊， 蓝屏可能就是因为连接double了， 很快就到系统上限