내 방화벽에서는 내 Windows 7 PC가 외국에 있는 여러 의심스러운 IP 주소에 아웃바운드 연결하고 있다고 말합니다. 5개의 서로 다른 바이러스/악성 프로그램 검사를 실행했지만 깨끗했습니다.
어떤 프로세스가 해당 IP에 연결되어 있는지 어떻게 확인할 수 있나요? 연결이 일정하지 않기 때문에 이런 종류의 활동을 기록하고 나중에 검토해야 할 것 같습니다.
답변1
Microsoft SysInternals 네트워킹 유틸리티TCP보기아마도 이 목적에 유용할 것입니다:
https://technet.microsoft.com/en-us/sysinternals/tcpview
TCPView는 로컬 및 원격 주소와 TCP 연결 상태를 포함하여 시스템의 모든 TCP 및 UDP 끝점에 대한 자세한 목록을 표시하는 Windows 프로그램입니다.
답변2
어떤 프로세스가 해당 IP에 연결되어 있는지 어떻게 확인할 수 있나요?
리소스 모니터는 이에 적합하지만 실시간 연결 모니터링에만 적합합니다.
연결이 일정하지 않기 때문에 이런 종류의 활동을 기록하고 나중에 검토해야 할 것 같습니다.
다음과 같이 .bat 스크립트를 만들 수 있습니다.
:top
date /t
time /t
netstat /an
timeout 60
goto top
그런 다음 실행하여 일부 로그 파일로 출력합니다.
batfilename.bat >> networkConnections.log
그러나 출력을 구문 분석하기 어려울 수 있습니다.
답변3
사용네트워크 모니터. 모든 네트워크 활동과 관련된 프로세스를 캡처합니다. GUI에는 캡처를 파일에 기록하는 옵션이 없습니다. 백그라운드에서 실행하거나 명령줄 도구를 사용하면 됩니다.
cmd.exe관리자로 시작 하고 다음을 입력합니다.
nmcap.exe /network * /capture /file c:\netmon.chn:100MB
이 명령은 모든 것을 파일(최대 크기는 100MB)로 캡처합니다. 캡처가 완료되면 Ctrl-C캡처 프로세스를 중지하고 GUI 응용 프로그램으로 파일을 열어 내용을 분석합니다. 참고: 최대일 때. 파일 크기에 도달하면 숫자가 증가하는 새 로그 파일이 생성됩니다.
대안으로사용와이어샤크, 네트워크 프로토콜 분석기. 모든 네트워크 트래픽을 로그 파일에 캡처합니다. 그러나 네트워크 계층에서만 작동하므로 관련 프로세스는 기록하지 않지만 관련 포트는 기록합니다.
이동캡처 > 옵션 > 출력그리고 확인영구 파일로 캡처(선택적으로 캡 파일을 저장할 위치를 선택하고)시작. 그런 다음 모든 네트워크 활동을 파일로 캡처하기 시작하고 화면에 실시간 보기를 표시합니다. 상단에 다음과 같은 필터를 입력하세요.
ip.src == 1.2.3.4
프로세스가 정적 포트에서 수신 대기 중인 경우 를 사용하여 식별할 수 있습니다 netstat.
cmd.exe관리자로 시작 하고 다음을 입력합니다.
netstat -anob
현재 수신 중인 모든 프로세스와 활성 네트워크 연결 목록을 제공합니다.
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 2784
[sshd.exe]
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 968
RpcSs
...