我的防火牆顯示我的 Windows 7 PC 正在出站連接到國外的多個可疑 IP 位址。我已經運行了 5 種不同的病毒/惡意軟體掃描,但我很乾淨。
我如何確定哪些進程正在連接到這些 IP?連接不是恆定的,因此我認為我需要記錄此類活動並稍後查看。
答案1
Microsoft SysInternals 網路公用程式TCP視圖對於這個目的可能很有用:
https://technet.microsoft.com/en-us/sysinternals/tcpview
TCPView 是一個 Windows 程序,它將向您顯示系統上所有 TCP 和 UDP 端點的詳細列表,包括本機和遠端位址以及 TCP 連線的狀態。
答案2
我如何確定哪些進程正在連接到這些 IP?
資源監視器對此很有用,但僅用於即時監視連線。
連接不是恆定的,因此我認為我需要記錄此類活動並稍後查看。
您可以製作這樣的 .bat 腳本:
:top
date /t
time /t
netstat /an
timeout 60
goto top
然後運行它,輸出到某個日誌檔案:
batfilename.bat >> networkConnections.log
不過,輸出可能難以解析。
答案3
使用網路監控器。它將捕獲所有網路活動以及涉及的進程。從 GUI 中,沒有將擷取記錄到檔案的選項,只需讓它在背景運行或使用命令列工具。
以管理員身份啟動cmd.exe並輸入:
nmcap.exe /network * /capture /file c:\netmon.chn:100MB
此命令會將所有內容捕獲到檔案中(最大大小為 100 MB),捕獲完成後點擊Ctrl-C停止捕獲過程並使用 GUI 應用程式開啟檔案以分析其內容。註:當最大。達到檔案大小時,它將建立一個具有增量編號的新日誌檔案。
作為備選使用Wireshark,網路協定分析儀。它將捕獲所有網路流量到日誌檔案中。然而,它不會記錄所涉及的進程,因為它只在網路層上運行,但它會記錄所涉及的連接埠。
去捕捉 > 選項 > 輸出並檢查捕獲到永久文件(可選擇儲存 cap 檔案的位置)並點擊開始。然後,它將開始將所有網路活動捕獲到文件中,並在螢幕上顯示即時視圖。在頂部輸入過濾器,例如:
ip.src == 1.2.3.4
如果進程正在偵聽靜態端口,則可以使用 來識別它netstat。
以管理員身份啟動cmd.exe並輸入:
netstat -anob
它給出了所有目前正在偵聽的進程和活動網路連線的清單:
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 2784
[sshd.exe]
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 968
RpcSs
...