Почему некоторые установщики приложений Windows пытаются выполнить исходящие TCP-подключения?

Question

В последние несколько лет я заметил, что все большее число установщиков приложений Windows пытаются устанавливать исходящие соединения через порт 80 сразу после запуска установщика. Мой брандмауэр предупреждает меня еще до появления сообщения Unknown Pulisher Run/Cancel. Я всегда отрицаю эти подключения, которые никогда не препятствуют установке. Вот несколько примеров хостов, которые я видел: www.download.windowsupdate.com, go.microsoft.com, cds34.iad9.msecn.net, csc3, crl.thawte.com, crl.usertrust.com, crl. comodoca.com.

Конечно, каждая программа установки отличается, но это очень согласованное поведение. Есть ли способ узнать природу или цель этих связей?

Answer 1

Мой брандмауэр предупреждает меня еще до появления сообщения Unknown Pulisher Run/Cancel.

Они проверяют сертификаты, чтобы убедиться, что установщик действительно такой, какой он есть. Позвольте им пройти, и вы можете вообще не видеть подсказку.

Answer 2

Есть ли способ узнать наверняка? Вероятно, нет, по крайней мере, без A) проверки / декодирования трафика и вывода на основе этого или B) обращения к издателю.

На самом деле, это, вероятно, не более чем проверка последней версии. Никто не хочет, чтобы кто-либо устанавливал устаревшее программное обеспечение, и это может произойти, особенно когда на сайтах с условно бесплатными программами зеркалируются установщики.