WireShark deve capturar a consulta DNS. Você pode filtrar pela porta 53 ou pelo seu host DNS, mas você verá a consulta do registro A que o programa está solicitando.
Isso está no XP. Um colega de trabalho limpou a instalação do Windows e está iniciando a atualização. Um programa em particular tinha uma entrada de host personalizada e agora não funciona porque não fizemos o backup do arquivo host. Aqui está o problema: sabemos o IP para mapear o nome, mas não sabemos o nome do domínio. . Quando executamos o programa em questão, ele falha com uma mensagem genérica. Existe alguma maneira de descobrirmos qual nome de host ele está tentando resolver?
Existem duas ferramentas da Sysinternals que podem ajudar com este problema.
TCPView mostrará o tráfego de rede atual:
OTCPView is a Windows program that will show you detailed listings of all TCP and UDP endpoints on your system, including the local and remote addresses and state of TCP connections.
Process Monitor mostrará todas as operações do processo:
Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity.
Você pode usar o TCPView para ver todas as conexões atuais, portanto, quando o programa tentar abrir a conexão em questão, você poderá vê-lo emitindo consultas DNS.
Se isso não funcionar ou passar muito rápido, você pode usar o Process Monitor (filtrado para esse processo especificamente) para ver todas as atividades por esse processo. Um bônus extra aqui é que, se o processo estiver procurando o nome ao qual está se conectando no Registro ou algum arquivo de configuração, você poderá detectá-lo com esta ferramenta.