Mi firewall dice que mi PC con Windows 7 se está conectando a varias direcciones IP sospechosas en un país extranjero. He realizado 5 análisis de virus/malware diferentes, pero estoy limpio.
¿Cómo puedo determinar qué procesos se están conectando a esas IP? La conexión no es constante, por lo que supongo que necesitaría registrar este tipo de actividad y revisarla más tarde.
Respuesta1
La utilidad de red Microsoft SysInternalsTCPVerProbablemente sea útil para este propósito:
https://technet.microsoft.com/en-us/sysinternals/tcpview
TCPView es un programa de Windows que le mostrará listados detallados de todos los puntos finales TCP y UDP en su sistema, incluidas las direcciones locales y remotas y el estado de las conexiones TCP.
Respuesta2
¿Cómo puedo determinar qué procesos se están conectando a esas IP?
Resource Monitor es bueno para esto, pero sólo para monitorear conexiones en tiempo real.
La conexión no es constante, por lo que supongo que necesitaría registrar este tipo de actividad y revisarla más tarde.
Podrías crear un script .bat como este:
:top
date /t
time /t
netstat /an
timeout 60
goto top
Luego ejecútelo y envíelo a algún archivo de registro:
batfilename.bat >> networkConnections.log
Sin embargo, el resultado puede resultar difícil de analizar.
Respuesta3
UsarMonitor de red. Capturará toda la actividad de la red y qué procesos están involucrados. Desde la GUI no hay ninguna opción para registrar la captura en un archivo, simplemente déjela ejecutarse en segundo plano o use la herramienta de línea de comandos.
Comience cmd.execomo administrador y escriba:
nmcap.exe /network * /capture /file c:\netmon.chn:100MB
Este comando capturará todo en un archivo (el tamaño máximo es 100 MB), cuando termine de capturar, presione Ctrl-Cpara detener el proceso de captura y abra el archivo con la aplicación GUI para analizar su contenido. Nota: cuando el máx. Cuando se alcanza el tamaño del archivo, se creará un nuevo archivo de registro con un número incremental.
Como alternativausarWireshark, un analizador de protocolos de red. Capturará todo el tráfico de la red en un archivo de registro. Sin embargo, no registrará los procesos involucrados, ya que solo opera en la capa de red, pero registra los puertos involucrados.
Ir aCaptura > Opciones > Saliday comprobarCapturar a un archivo permanente(opcionalmente, elija una ubicación para guardar el archivo cap) y haga clic enComenzar. Luego comenzará a capturar toda la actividad de la red en un archivo y presentará una vista en vivo en la pantalla. En la parte superior ingresa filtros como:
ip.src == 1.2.3.4
Si un proceso está escuchando en un puerto estático, se puede identificar usando netstat.
Comience cmd.execomo administrador y escriba:
netstat -anob
que proporciona una lista de todos los procesos de escucha actuales y conexiones de red activas:
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 2784
[sshd.exe]
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 968
RpcSs
...