獲取訪問特定IP的程序名稱
我需要獲取嘗試訪問外部 IP 的程序名稱。這些程序可能是惡意軟體或更新,它們是短暫的,因此不能使用 netstat 或資源監視器。我已經嘗試過 MS 消息分析器,但我得到了不好的結果(空閒程序列出的最多)。我可以嘗試其他工具或程序嗎?
我按照這篇文章來配置消息分析器。
這是 netmon 的輸出:
- 所有流量
+ 我的流量
- 不可用 (3020)
- 不可用 (1788)
- 任務主機.exe (704)
- 不可用 (600) +
- 不可用 (3048)
- 不可用 (360)
+ IPv4 (xx.xx.xx.xx - 23.0.174.16) ConvID = 162 + IPv4 (xx.xx.xx.xx - 23.0.174.8) ConvID = 166 + IPv4 (xx.xx.xx.xx - 23.0.174.19) ConvID = 171 + IPv4 (xx.xx.xx.xx - 23.0.174.27) ConvID = 175 + IPv4 (xx.xx.xx.xx - 23.0.174.35) ConvID = 181 + IPv4 (xx.xx.xx.xx - 5.22.191.202) ConvID = 195 + IPv4 (xx.xx.xx.xx - 5.22.191.201) ConvID = 199 + IPv4 (xx.xx.xx.xx - 5.22.191.233) ConvID = 203 + IPv4 (xx.xx.xx.xx - 5.22.191.227) ConvID = 207 + IPv4 (xx.xx.xx.xx - 5.22.191.217) ConvID = 211 + IPv4 (xx.xx.xx.xx - 193.77.14.137) ConvID = 232 + IPv4 (xx.xx.xx.xx - 193.77.14.171) ConvID = 236
我在資源監視器中沒有得到這個。這些IP很奇怪,我在監控期間不上網。
您可以為此使用程序監視器 (procmon)。下載連結:https ://technet.microsoft.com/en-gb/sysinternals/bb896645
打開它後,為僅限網路的內容設置一些過濾器。如果您有多個網路介面,則可以使用這些:
Operation | is | TCP Send | then Include Operation | is | UDP Send | then Include Path | contains | 127.0.0.1 | then Exclude
(我假設您不關心訪問環回地址)
如果您只有一個網路介面,或者只有一個您關心的網路介面,您可以將過濾器設置為:
Path | begins with | x.x.x.x | then include
其中 xxxx 是本地介面的 IP 地址。
您可以從這裡進一步過濾它,排除已知的良好程序,或排除 DNS 請求數據包/acks/等。您可以讓它執行任意長時間,但請注意記憶體使用情況。預設情況下,它將在循環中保留 1.99 億個事件,您可能希望將其調高或調低。在一天結束時,您可以手動瀏覽列表,或轉到工具 -> 網路摘要並按單個 IP 地址進行過濾。