Мне нужно получить имя процесса, который пытается получить доступ к внешним IP-адресам. Эти процессы могут быть вредоносными или обновлениями, они недолговечны, поэтому netstat или монитор ресурсов использовать нельзя. Я пробовал MS Message Analyzer, но получаю плохие результаты (чаще всего указывается неактивный процесс). Есть ли другой инструмент или процедура, которые я мог бы попробовать?
Я следил за этим статья для настройки анализатора сообщений.
Это вывод netmon:
- Весь трафик
- Мой трафик
- Недоступно (3020)
- Недоступно (1788)
- taskhost.exe (704)
- Недоступно (600) +
- Недоступно (3048)
- Недоступно (360)
- IPv4 (xx.xx.xx.xx - 23.0.174.16) ConvID = 162
- IPv4 (xx.xx.xx.xx - 23.0.174.8) ConvID = 166
- IPv4 (xx.xx.xx.xx - 23.0.174.19) ConvID = 171
- IPv4 (xx.xx.xx.xx - 23.0.174.27) ConvID = 175
- IPv4 (xx.xx.xx.xx - 23.0.174.35) ConvID = 181
- IPv4 (xx.xx.xx.xx - 5.22.191.202) ConvID = 195
- IPv4 (xx.xx.xx.xx - 5.22.191.201) ConvID = 199
- IPv4 (xx.xx.xx.xx - 5.22.191.233) ConvID = 203
- IPv4 (xx.xx.xx.xx - 5.22.191.227) ConvID = 207
- IPv4 (xx.xx.xx.xx - 5.22.191.217) ConvID = 211
- IPv4 (xx.xx.xx.xx - 193.77.14.137) ConvID = 232
- IPv4 (xx.xx.xx.xx - 193.77.14.171) ConvID = 236
Я не вижу этого в мониторе ресурсов. Эти IP-адреса странные, я не просматриваю сервер во время мониторинга.
Для этого вы можете использовать Process Monitor (procmon). Ссылка на скачивание: https://technet.microsoft.com/en-gb/sysinternals/bb896645
После того, как вы его откроете, установите несколько фильтров только для сети. Если у вас несколько сетевых интерфейсов, вы можете использовать их:
Operation | is | TCP Send | then Include
Operation | is | UDP Send | then Include
Path | contains | 127.0.0.1 | then Exclude
(Я предполагаю, что вы не заботитесь о доступе к адресу обратной связи)
Если у вас только один сетевой интерфейс или только один, который вам нужен, вы можете установить фильтр на:
Path | begins with | x.x.x.x | then include
Где x.x.x.x - IP-адрес локального интерфейса.
Вы можете отфильтровать его дальше, исключив известные хорошие процессы или исключив пакеты DNS-запросов / подтверждения / и т. Д. Вы можете позволить ему работать столько, сколько захотите, но следите за использованием памяти. По умолчанию в цикле будет храниться 199 миллионов событий, и вы можете увеличить или уменьшить это значение. В конце дня вы можете просмотреть список вручную или перейти в Инструменты -> Сводка по сети и отфильтровать по отдельным IP-адресам.