Meu firewall está dizendo que meu PC com Windows 7 está conectando-se a vários endereços IP suspeitos em um país estrangeiro. Eu executei 5 varreduras diferentes de vírus / malware, mas estou limpo.
Como posso determinar quais processos estão se conectando a esses IPs? A conexão não é constante, então presumo que precisaria registrar esse tipo de atividade e analisá-la mais tarde.
O utilitário de rede Microsoft SysInternals TCPView é provavelmente útil para este propósito:
TCPView is a Windows program that will show you detailed listings of all TCP and UDP endpoints on your system, including the local and remote addresses and state of TCP connections.
Como posso determinar quais processos estão se conectando a esses IPs?
O Monitor de Recursos é bom para isso, mas apenas para monitorar conexões em tempo real.
A conexão não é constante, então eu presumo que precisaria registrar esse tipo de atividade e analisá-la mais tarde.
Você pode criar um script .bat assim:
:top
date /t
time /t
netstat /an
timeout 60
goto top
Em seguida, execute-o, saindo para algum arquivo de log:
batfilename.bat >> networkConnections.log
A saída pode ser difícil de analisar, no entanto.
Use o Monitor de rede . Ele irá capturar toda a atividade da rede e quais processos estão envolvidos. A partir da GUI, não há opção para registrar a captura em um arquivo, basta deixá-lo rodar em segundo plano ou usar a ferramenta de linha de comando.
Inicie o cmd.exe como administrador e digite:
nmcap.exe /network * /capture /file c:\netmon.chn:100MB
Este comando capturará tudo em um arquivo (o tamanho máximo é 100 MB), quando terminar de capturar o hit Ctrl-C para parar o processo de captura e abrir o arquivo com o aplicativo GUI para analisar seu conteúdo. Nota: quando o lance máximo Quando o tamanho do arquivo for atingido, ele criará um novo arquivo de log com um número incremental.
Como alternativa use o Wireshark , um analisador de protocolo de rede. Ele irá capturar todo o tráfego da rede para um arquivo de log. No entanto, ele não registrará os processos envolvidos, pois ele só opera na camada de rede, mas registra as portas envolvidas.
Vá para Capturar > Opções > Saída e marque Capturar para um arquivo permanente (opcionalmente, escolha um local para salvar o arquivo de limite) e clique em Iniciar . Em seguida, ele começará a capturar toda a atividade de rede em um arquivo e apresentará uma exibição ao vivo na tela. No topo, insira filtros como:
ip.src == 1.2.3.4
Se um processo estiver escutando em uma porta estática, ele poderá ser identificado usando netstat .
Inicie o cmd.exe como administrador e digite:
netstat -anob
que fornece uma lista de todos os processos atualmente em escuta e conexões de rede ativas:
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 2784
[sshd.exe]
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 968
RpcSs
...