Windows 시스템에서 모든 인터페이스로/에서 모든 IP 트래픽을 캡처하려고 합니다.
- 나가는 트래픽을 생성한 프로세스 ID를 캡처할 수 있어야 합니다.
- 명령줄에서 캡처를 트리거하고 외부 도구에서 캡처 파일을 자동으로 구문 분석할 수 있어야 합니다.
을(를) 사용하려고 하는데 netsh, 이 작업을 수행할 수 있는 것 같습니다. 그러나 필요한 정보를 추출하는 방법을 찾는 데 문제가 있습니다.
netsh trace start persistent=yes capture=yes tracefile=xxx그런 다음 실행하면 netsh trace stop필요한 정보를 캡처하는 것 같습니다. 생성된 .etl 파일을 WMA(Windows 메시지 분석기)에 로드하면 다음과 함께 IP 트래픽을 볼 수 있습니다.많은그 외 이벤트 정보
내 구체적인 문제는 다음과 같습니다
netshIP 트래픽만 캡처하도록 제한하려면 어떻게 해야 합니까 ?- WMA와 같은 도구 없이 etl 파일을 어떻게 구문 분석합니까?
두 번째 질문에 관해서. Etl 파일을 xml 파일로 변환했습니다( tracerpt또는 사용 netsh trace convert). 그러나 데이터가 불완전한 것 같습니다. 예를 들어 트래픽이 전송된 것으로 알고 있는 IP 주소(WMA에서 확인됨)를 볼 수 없습니다. 아마도 그것은 일부 바이너리 블롭에 모두 숨겨져 있을 것입니다.