私のファイアウォールは、Windows 7 PC が外国のいくつかの疑わしい IP アドレスに発信接続していると報告しています。5 種類のウイルス/マルウェア スキャンを実行しましたが、問題はありません。
これらの IP に接続しているプロセスを特定するにはどうすればよいですか? 接続は一定ではないため、この種のアクティビティをログに記録して後で確認する必要があると思います。
答え1
Microsoft SysInternals ネットワーク ユーティリティTCPビューこの目的にはおそらく役立つでしょう:
https://technet.microsoft.com/ja-jp/sysinternals/tcpview より
TCPView は、ローカル アドレスとリモート アドレス、TCP 接続の状態など、システム上のすべての TCP および UDP エンドポイントの詳細なリストを表示する Windows プログラムです。
答え2
これらの IP に接続しているプロセスを特定するにはどうすればよいですか?
リソース モニターはこれに適していますが、接続をリアルタイムで監視する場合に限ります。
接続は一定ではないので、この種のアクティビティを記録して後で確認する必要があると思います。
次のような .bat スクリプトを作成できます。
:top
date /t
time /t
netstat /an
timeout 60
goto top
次に、それを実行して、ログ ファイルに出力します。
batfilename.bat >> networkConnections.log
ただし、出力を解析するのは難しいかもしれません。
答え3
使用ネットワークモニターすべてのネットワーク アクティビティと関連するプロセスをキャプチャします。GUI からはキャプチャをファイルに記録するオプションはありません。バックグラウンドで実行するか、コマンド ライン ツールを使用するだけです。
管理者として起動しcmd.exe、次のように入力します:
nmcap.exe /network * /capture /file c:\netmon.chn:100MB
このコマンドは、すべてをファイルにキャプチャします (最大サイズは 100 MB)。キャプチャが終了したら、Ctrl-Cキャプチャ プロセスを停止し、GUI アプリケーションでファイルを開いてその内容を分析します。注: 最大ファイル サイズに達すると、増分番号の新しいログ ファイルが作成されます。
代替案として使用ワイヤーシャークは、ネットワーク プロトコル アナライザーです。すべてのネットワーク トラフィックをログ ファイルにキャプチャします。ただし、ネットワーク層でのみ動作するため、関連するプロセスはログに記録されませんが、関連するポートはログに記録されます。
へ移動キャプチャ > オプション > 出力チェック永久ファイルにキャプチャする(オプションでCAPファイルを保存する場所を選択)をクリックし、始める. その後、すべてのネットワーク アクティビティをファイルにキャプチャし、画面にライブ ビューを表示します。上部に次のようなフィルターを入力します。
ip.src == 1.2.3.4
プロセスが静的ポートをリッスンしている場合は、 を使用して識別できますnetstat。
管理者として起動しcmd.exe、次のように入力します:
netstat -anob
現在リッスンしているすべてのプロセスとアクティブなネットワーク接続のリストが表示されます。
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 2784
[sshd.exe]
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 968
RpcSs
...