Meine Firewall meldet, dass mein Windows 7-PC ausgehende Verbindungen zu mehreren verdächtigen IP-Adressen im Ausland herstellt. Ich habe 5 verschiedene Viren-/Malware-Scans ausgeführt, aber ich bin sauber.
Wie kann ich feststellen, welche Prozesse eine Verbindung zu diesen IPs herstellen? Die Verbindung ist nicht konstant, daher gehe ich davon aus, dass ich diese Art von Aktivität protokollieren und später überprüfen muss.
Antwort1
Das Netzwerkdienstprogramm Microsoft SysInternalsTCPViewist wahrscheinlich für diesen Zweck nützlich:
https://technet.microsoft.com/en-us/sysinternals/tcpview
TCPView ist ein Windows-Programm, das Ihnen detaillierte Listen aller TCP- und UDP-Endpunkte auf Ihrem System anzeigt, einschließlich der lokalen und Remote-Adressen und des Status der TCP-Verbindungen.
Antwort2
Wie kann ich feststellen, welche Prozesse eine Verbindung zu diesen IPs herstellen?
Der Ressourcenmonitor eignet sich hierfür gut, allerdings nur zur Überwachung von Verbindungen in Echtzeit.
Da die Verbindung nicht konstant besteht, gehe ich davon aus, dass ich derartige Aktivitäten protokollieren und später überprüfen muss.
Sie könnten ein .bat-Skript wie dieses erstellen:
:top
date /t
time /t
netstat /an
timeout 60
goto top
Führen Sie es dann aus und geben Sie es in eine Protokolldatei aus:
batfilename.bat >> networkConnections.log
Die Ausgabe kann allerdings schwierig zu analysieren sein.
Antwort3
VerwendenNetzwerkmonitor. Es erfasst alle Netzwerkaktivitäten und die beteiligten Prozesse. Über die GUI gibt es keine Option, die Erfassung in einer Datei zu protokollieren. Lassen Sie es einfach im Hintergrund laufen oder verwenden Sie das Befehlszeilentool.
Starten Sie cmd.exeals Administrator und geben Sie ein:
nmcap.exe /network * /capture /file c:\netmon.chn:100MB
Dieser Befehl erfasst alles in einer Datei (max. Größe 100 MB). Wenn die Erfassung abgeschlossen ist, klicken Sie auf „Beenden“, Ctrl-Cum den Erfassungsvorgang zu stoppen und die Datei mit der GUI-Anwendung zu öffnen, um ihren Inhalt zu analysieren. Hinweis: Wenn die maximale Dateigröße erreicht ist, wird eine neue Protokolldatei mit einer inkrementellen Nummer erstellt.
Als AlternativeverwendenWireshark, ein Netzwerkprotokollanalysator. Er erfasst den gesamten Netzwerkverkehr in einer Protokolldatei. Allerdings werden die beteiligten Prozesse nicht protokolliert, da er nur auf der Netzwerkebene arbeitet, aber er protokolliert die beteiligten Ports.
Gehe zuAufnehmen > Optionen > Ausgabeund prüfeIn einer permanenten Datei erfassen(optional einen Speicherort für die CAP-Datei auswählen) und klicken Sie aufStart. Anschließend werden alle Netzwerkaktivitäten in einer Datei aufgezeichnet und eine Live-Ansicht auf dem Bildschirm angezeigt. Geben Sie oben Filter ein wie:
ip.src == 1.2.3.4
Wenn ein Prozess auf einem statischen Port lauscht, kann er mithilfe von identifiziert werden netstat.
Starten Sie cmd.exeals Administrator und geben Sie ein:
netstat -anob
Hier wird eine Liste aller aktuell lauschenden Prozesse und aktiven Netzwerkverbindungen angezeigt:
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 2784
[sshd.exe]
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 968
RpcSs
...