Windows

獲取訪問特定IP的程序名稱

  • December 2, 2015

我需要獲取嘗試訪問外部 IP 的程序名稱。這些程序可能是惡意軟體或更新,它們是短暫的,因此不能使用 netstat 或資源監視器。我已經嘗試過 MS 消息分析器,但我得到了不好的結果(空閒程序列出的最多)。我可以嘗試其他工具或程序嗎?

我按照這篇文章來配置消息分析器。

這是 netmon 的輸出:

  • 所有流量

+ 我的流量

  • 不可用 (3020)
  • 不可用 (1788)
  • 任務主機.exe (704)
  • 不可用 (600) +
  • 不可用 (3048)
  • 不可用 (360)

+ IPv4 (xx.xx.xx.xx - 23.0.174.16) ConvID = 162 + IPv4 (xx.xx.xx.xx - 23.0.174.8) ConvID = 166 + IPv4 (xx.xx.xx.xx - 23.0.174.19) ConvID = 171 + IPv4 (xx.xx.xx.xx - 23.0.174.27) ConvID = 175 + IPv4 (xx.xx.xx.xx - 23.0.174.35) ConvID = 181 + IPv4 (xx.xx.xx.xx - 5.22.191.202) ConvID = 195 + IPv4 (xx.xx.xx.xx - 5.22.191.201) ConvID = 199 + IPv4 (xx.xx.xx.xx - 5.22.191.233) ConvID = 203 + IPv4 (xx.xx.xx.xx - 5.22.191.227) ConvID = 207 + IPv4 (xx.xx.xx.xx - 5.22.191.217) ConvID = 211 + IPv4 (xx.xx.xx.xx - 193.77.14.137) ConvID = 232 + IPv4 (xx.xx.xx.xx - 193.77.14.171) ConvID = 236

我在資源監視器中沒有得到這個。這些IP很奇怪,我在監控期間不上網。

您可以為此使用程序監視器 (procmon)。下載連結:https ://technet.microsoft.com/en-gb/sysinternals/bb896645

打開它後,為僅限網路的內容設置一些過濾器。如果您有多個網路介面,則可以使用這些:

Operation | is | TCP Send | then Include

Operation | is | UDP Send | then Include

Path | contains | 127.0.0.1 | then Exclude

(我假設您不關心訪問環回地址)

如果您只有一個網路介面,或者只有一個您關心的網路介面,您可以將過濾器設置為:

Path | begins with | x.x.x.x | then include

其中 xxxx 是本地介面的 IP 地址。

您可以從這裡進一步過濾它,排除已知的良好程序,或排除 DNS 請求數據包/acks/等。您可以讓它執行任意長時間,但請注意記憶體使用情況。預設情況下,它將在循環中保留 1.99 億個事件,您可能希望將其調高或調低。在一天結束時,您可以手動瀏覽列表,或轉到工具 -> 網路摘要並按單個 IP 地址進行過濾。

引用自:https://serverfault.com/questions/740175