Мой брандмауэр сообщает, что мой ПК с Windows 7 подключается к нескольким подозрительным IP-адресам в зарубежной стране. Я провел 5 различных сканирований на вирусы/вредоносные программы, но все чисто.
Как определить, какие процессы подключаются к этим IP-адресам? Подключение не постоянное, поэтому я предполагаю, что мне нужно регистрировать такого рода активность и просматривать ее позже.
решение1
Сетевая утилита Microsoft SysInternalsTCPПросмотрвероятно, полезно для этой цели:
https://technet.microsoft.com/en-us/sysinternals/tcpview
TCPView — это программа для Windows, которая покажет вам подробные списки всех конечных точек TCP и UDP в вашей системе, включая локальные и удаленные адреса и состояние TCP-соединений.
решение2
Как определить, какие процессы подключаются к этим IP-адресам?
Resource Monitor хорош для этого, но только для мониторинга подключений в режиме реального времени.
Соединение не постоянное, поэтому я предполагаю, что мне нужно регистрировать такого рода активность и просматривать ее позже.
Вы можете создать такой .bat-скрипт:
:top
date /t
time /t
netstat /an
timeout 60
goto top
Затем запустите его, выведя в какой-нибудь файл журнала:
batfilename.bat >> networkConnections.log
Однако вывод может оказаться сложным для анализа.
решение3
ИспользоватьСетевой монитор. Он будет захватывать всю сетевую активность и какие процессы задействованы. В графическом интерфейсе нет возможности записывать захват в файл, просто дайте ему работать в фоновом режиме или используйте инструмент командной строки.
Запустите систему cmd.exeкак администратор и введите:
nmcap.exe /network * /capture /file c:\netmon.chn:100MB
Эта команда соберет все в файл (макс. размер 100 МБ), после завершения захвата нажмите, Ctrl-Cчтобы остановить процесс захвата и открыть файл с помощью приложения GUI для анализа его содержимого. Примечание: при достижении макс. размера файла будет создан новый файл журнала с инкрементным номером.
Как альтернативаиспользоватьWireshark, анализатор сетевых протоколов. Он будет захватывать весь сетевой трафик в файл журнала. Однако он не будет регистрировать вовлеченные процессы, поскольку он работает только на сетевом уровне, но он регистрирует вовлеченные порты.
Идти кЗахват > Параметры > Выводи проверьтеЗахват в постоянный файл(при желании выберите место сохранения файла шапки) и нажмитеНачинать. Затем он начнет захватывать всю сетевую активность в файл и отображать ее на экране в реальном времени. В верхней части введите фильтры, например:
ip.src == 1.2.3.4
Если процесс прослушивает статический порт, его можно идентифицировать с помощью netstat.
Запустите систему cmd.exeкак администратор и введите:
netstat -anob
который выводит список всех прослушиваемых в данный момент процессов и активных сетевых подключений:
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 2784
[sshd.exe]
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 968
RpcSs
...