Мій брандмауер говорить, що мій ПК під керуванням Windows 7 підключає вихідну інформацію до кількох підозрілих IP-адрес у іноземній країні. Я провів 5 різних сканів на віруси та зловмисне програмне забезпечення, але я чистий.
Як я можу визначити, які процеси підключаються до цих IP-адрес? Зв'язок не є постійним, тому я б припустив, що мені потрібно зареєструвати цей вид діяльності та переглянути його пізніше.
Відповіді:
Для цього , мабуть, корисна мережева утиліта Microsoft SysInternals TCPView :
https://technet.microsoft.com/en-us/sysinternals/tcpview
TCPView - це програма Windows, яка покаже вам докладні списки всіх кінцевих точок TCP та UDP у вашій системі, включаючи локальні та віддалені адреси та стан підключень TCP.
Як я можу визначити, які процеси підключаються до цих IP-адрес?
Монітор ресурсів хороший для цього, але лише для моніторингу з'єднань у режимі реального часу.
Зв'язок не є постійним, тому я б припустив, що мені потрібно зареєструвати цей вид діяльності та переглянути його пізніше.
Ви можете зробити .bat-скрипт таким:
:top
date /t
time /t
netstat /an
timeout 60
goto top
Потім запустіть його, вивівши в якийсь файл журналу:
batfilename.bat >> networkConnections.log
Вихід може бути важким для розбору.
Використовуйте мережевий монітор . Він буде охоплювати всю мережеву діяльність та які процеси беруть участь. У графічному інтерфейсі немає можливості записувати захоплення у файл, просто нехай він працює у фоновому режимі або скористається інструментом командного рядка.
Почніть cmd.exeяк адміністратор і введіть:
nmcap.exe /network * /capture /file c:\netmon.chn:100MB
Ця команда буде захоплювати все до файлу (максимальний розмір - 100 Мб), після завершення захоплення натисніть, Ctrl-Cщоб зупинити процес захоплення та відкрити файл за допомогою програми GUI для аналізу його вмісту. Примітка: коли макс. розмір файлу буде досягнуто, він створить новий файл журналу з додатковим числом.
В якості альтернативи використовувати Wireshark , аналізатор мережевих протоколів. Він буде захоплювати весь мережевий трафік у файл журналу. Однак він не буде реєструвати залучені процеси, оскільки він працює лише на мережевому рівні, але він реєструє залучені порти.
Перейдіть у меню Capture> Options> Output та поставте прапорець Capture у постійний файл (необов'язково виберіть місце для збереження файлу з обмеженнями) та натисніть кнопку Start . Потім він почне захоплювати всю мережеву активність до файлу та представить режим перегляду на екрані. Вгорі введіть такі фільтри:
ip.src == 1.2.3.4
Якщо процес прослуховується на статичному порту, його можна ідентифікувати за допомогою netstat.
Почніть cmd.exeяк адміністратор і введіть:
netstat -anob
який дає список усіх поточних процесів прослуховування та активних мережевих з'єднань:
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 2784
[sshd.exe]
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 968
RpcSs
...