1

Мой брандмауэр говорит, что мой компьютер с Windows 7 подключается к нескольким подозрительным IP-адресам в другой стране. Я провел 5 различных проверок на вирусы и вредоносные программы, но я чист.

Как я могу определить, какие процессы подключаются к этим IP-адресам? Соединение не является постоянным, поэтому я предполагаю, что мне нужно будет регистрировать этот вид деятельности и просматривать его позже.

3 ответа3

0

Сетевая утилита Microsoft SysInternals TCPView , вероятно, полезна для этой цели:

https://technet.microsoft.com/en-us/sysinternals/tcpview

TCPView - это программа для Windows, которая покажет вам подробные списки всех конечных точек TCP и UDP в вашей системе, включая локальные и удаленные адреса и состояние соединений TCP.

0

Как я могу определить, какие процессы подключаются к этим IP-адресам?

Resource Monitor хорош для этого, но только для мониторинга соединений в режиме реального времени.

Соединение не является постоянным, поэтому я предполагаю, что мне нужно будет регистрировать этот вид деятельности и просматривать его позже.

Вы можете сделать скрипт .bat следующим образом:

:top
date /t
time /t
netstat /an
timeout 60
goto top

Затем запустите его, выведя в какой-нибудь файл журнала:

batfilename.bat >> networkConnections.log

Хотя вывод может быть трудным для анализа.

0

Используйте сетевой монитор. Он будет фиксировать всю сетевую активность и какие процессы задействованы. Из графического интерфейса нет возможности записать перехват в файл, просто дайте ему работать в фоновом режиме или используйте инструмент командной строки.

Запустите cmd.exe от имени администратора и введите:

nmcap.exe /network * /capture /file c:\netmon.chn:100MB

Эта команда записывает все в файл (макс. Размер составляет 100 МБ), после завершения захвата нажмите Ctrl-C чтобы остановить процесс захвата и открыть файл с помощью приложения с графическим интерфейсом для анализа его содержимого. Примечание: когда макс. размер файла будет достигнут, будет создан новый файл журнала с добавочным номером.

В качестве альтернативы можно использовать Wireshark, анализатор сетевых протоколов. Он будет захватывать весь сетевой трафик в файл журнала. Однако он не будет регистрировать вовлеченные процессы, поскольку он работает только на сетевом уровне, но он регистрирует вовлеченные порты.

Перейдите в « Захват»> «Параметры»> «Вывод» и установите флажок « Захватить в постоянный файл» (при необходимости выберите место для сохранения файла шапки) и нажмите « Пуск». Затем он начнет захватывать всю сетевую активность в файл и отображать на экране в режиме реального времени. Вверху введите фильтры как:

ip.src == 1.2.3.4

Если процесс прослушивает статический порт, его можно определить с помощью netstat .

Запустите cmd.exe от имени администратора и введите:

netstat -anob

который дает список всех текущих прослушивающих процессов и активных сетевых подключений:

Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:22             0.0.0.0:0              LISTENING       2784
 [sshd.exe]
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       968
  RpcSs
  ...

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .