Мой брандмауэр говорит, что мой компьютер с Windows 7 подключается к нескольким подозрительным IP-адресам в другой стране. Я провел 5 различных проверок на вирусы и вредоносные программы, но я чист.
Как я могу определить, какие процессы подключаются к этим IP-адресам? Соединение не является постоянным, поэтому я предполагаю, что мне нужно будет регистрировать этот вид деятельности и просматривать его позже.
Сетевая утилита Microsoft SysInternals TCPView , вероятно, полезна для этой цели:
https://technet.microsoft.com/en-us/sysinternals/tcpview
TCPView - это программа для Windows, которая покажет вам подробные списки всех конечных точек TCP и UDP в вашей системе, включая локальные и удаленные адреса и состояние соединений TCP.
Как я могу определить, какие процессы подключаются к этим IP-адресам?
Resource Monitor хорош для этого, но только для мониторинга соединений в режиме реального времени.
Соединение не является постоянным, поэтому я предполагаю, что мне нужно будет регистрировать этот вид деятельности и просматривать его позже.
Вы можете сделать скрипт .bat следующим образом:
:top
date /t
time /t
netstat /an
timeout 60
goto top
Затем запустите его, выведя в какой-нибудь файл журнала:
batfilename.bat >> networkConnections.log
Хотя вывод может быть трудным для анализа.
Используйте сетевой монитор. Он будет фиксировать всю сетевую активность и какие процессы задействованы. Из графического интерфейса нет возможности записать перехват в файл, просто дайте ему работать в фоновом режиме или используйте инструмент командной строки.
Запустите cmd.exe от имени администратора и введите:
nmcap.exe /network * /capture /file c:\netmon.chn:100MB
Эта команда записывает все в файл (макс. Размер составляет 100 МБ), после завершения захвата нажмите Ctrl-C чтобы остановить процесс захвата и открыть файл с помощью приложения с графическим интерфейсом для анализа его содержимого. Примечание: когда макс. размер файла будет достигнут, будет создан новый файл журнала с добавочным номером.
В качестве альтернативы можно использовать Wireshark, анализатор сетевых протоколов. Он будет захватывать весь сетевой трафик в файл журнала. Однако он не будет регистрировать вовлеченные процессы, поскольку он работает только на сетевом уровне, но он регистрирует вовлеченные порты.
Перейдите в « Захват»> «Параметры»> «Вывод» и установите флажок « Захватить в постоянный файл» (при необходимости выберите место для сохранения файла шапки) и нажмите « Пуск». Затем он начнет захватывать всю сетевую активность в файл и отображать на экране в режиме реального времени. Вверху введите фильтры как:
ip.src == 1.2.3.4
Если процесс прослушивает статический порт, его можно определить с помощью netstat .
Запустите cmd.exe от имени администратора и введите:
netstat -anob
который дает список всех текущих прослушивающих процессов и активных сетевых подключений:
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 2784
[sshd.exe]
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 968
RpcSs
...