Processos ou processos de curta duração que saem durante a amostragem podem ser perdidos por seus comandos.
Estou tentando gravar dados de todos os processos que estabelecem conexões do meu PC para problemas de segurança, tentei fazer netstat -bn 1 > stats.txt, também tentou fazer um arquivo de log com CurrPorts, TCPView do que eu vi nem sequer tem uma opção para registrar alterações,
mas o mais estranho é que todos eles ocasionalmente mostram processos como "desconhecidos", CurrPorts parece ser o melhor até agora, mas também lista alguns processos desconhecidos.
1.Como é possível que processos tenham caminhos desconhecidos? o sistema não conhece o caminho de qualquer processo que estabeleça uma conexão?
2. Existe outra ferramenta que não usei ou outra forma de registrar os processos que estabelecem conexões de forma clara e com os caminhos de todos os processos?
Processos ou processos de curta duração que saem durante a amostragem podem ser perdidos por seus comandos.
1.How is it possible that processes have unknown paths?
O sistema conhece os IDs do processo. (Especificamente, a pilha de rede deve saber isso.) As identificações de processo são apenas desconhecidas para o netstat.
doesn't the system know the path of any process that establishes a connection?
Sim. Quando a pilha TCP / IP (responsável por protocolos comuns, incluindo TCP e UDP e talvez ICMP) recebe informações, envia essas informações para os programas. Essa capacidade permite que seu computador tenha várias conversas, com diferentes partes do software em execução no sistema, e envie dados de entrada para a conversa correta. O design do TCP exige que os dados recebidos sejam processados como parte do handshake de inicialização. O UDP também suporta isso, e é por isso que você pode fazer várias solicitações de DNS simultaneamente e o computador saberá qual resposta deve corresponder a cada solicitação.
2.Is there another tool I haven't used or some other way to log the processes that establish connections in a clear way and with the paths of all the processes?
netstat -b deve ser capaz de fazer isso muito bem. (Essa sintaxe é para versões modernas do Microsoft Windows. Outras implementações do netstat podem usar parâmetros diferentes.) O parâmetro -n apenas elimina os detalhes do DNS reverso, que as pessoas normalmente eliminam (geralmente porque isso pode atrasar as coisas).
O problema é provavelmente um problema com permissões, o que eu espero que também afete outras ferramentas. (Caso contrário, os benefícios de segurança esperados podem não estar funcionando como seria de esperar.)
Melhor aposta: verifique se você é um administrador. Se você estiver usando o Windows Vista ou mais recente, verifique se o UAC está ativado e, em seguida, você está usando um prompt de comando com privilégios elevados.
netstat -nb deve mostrar números PID. A conversão para caminhos é feita separadamente, por ex. com TASKLIST ou:% WMIC PROCESS GET Caption,CommandLine,Description,ExecutablePath,Name,ParentProcessId,ProcessId /FORMAT:VALUE
Tags networking process security netstat