Obtém o nome do processo acessando determinado IP

1

Eu preciso do nome do processo que está tentando acessar os IPs externos. Esses processos podem ser malware ou atualizações, eles são de curta duração, portanto, netstat ou monitor de recursos não podem ser usados. Eu tentei MS Message Analyzer, mas eu recebo resultados ruins (processo ocioso é listado mais). Existe outra ferramenta ou procedimento que eu poderia tentar?

Segui este artigo para configurar o Analizador de Mensagens.

Esta é a saída do netmon:

  • All Traffic
    • My Traffic
  • Unavailable (3020)
  • Unavailable (1788)
  • taskhost.exe (704)
  • Unavailable (600) +
  • Unavailable (3048)
  • Unavailable (360)
    • IPv4 (xx.xx.xx.xx - 23.0.174.16) ConvID = 162
    • IPv4 (xx.xx.xx.xx - 23.0.174.8) ConvID = 166
    • IPv4 (xx.xx.xx.xx - 23.0.174.19) ConvID = 171
    • IPv4 (xx.xx.xx.xx - 23.0.174.27) ConvID = 175
    • IPv4 (xx.xx.xx.xx - 23.0.174.35) ConvID = 181
    • IPv4 (xx.xx.xx.xx - 5.22.191.202) ConvID = 195
    • IPv4 (xx.xx.xx.xx - 5.22.191.201) ConvID = 199
    • IPv4 (xx.xx.xx.xx - 5.22.191.233) ConvID = 203
    • IPv4 (xx.xx.xx.xx - 5.22.191.227) ConvID = 207
    • IPv4 (xx.xx.xx.xx - 5.22.191.217) ConvID = 211
    • IPv4 (xx.xx.xx.xx - 193.77.14.137) ConvID = 232
    • IPv4 (xx.xx.xx.xx - 193.77.14.171) ConvID = 236

Eu não entendo isso no monitor de recursos. Esses IP's são estranhos, eu não navego no servidor durante o monitoramento.

    
por malibeg 02.12.2015 / 09:18

1 resposta

1

Você pode usar o Process Monitor (procmon) para isso. Link para o download: link

Depois de abri-lo, defina alguns filtros apenas para o conteúdo da rede. Se você tiver várias interfaces de rede, poderá usá-las:

Operation | is | TCP Send | then Include

Operation | is | UDP Send | then Include

Path | contains | 127.0.0.1 | then Exclude

(Eu estou supondo que você não se importa em acessar o endereço de loopback)

Se você tiver apenas uma interface de rede ou apenas uma que lhe interessa, poderá definir o filtro como:

Path | begins with | x.x.x.x | then include

Onde x.x.x.x é o endereço IP da interface local.

Você pode filtrá-lo ainda mais a partir daqui, excluindo processos bons conhecidos ou excluindo pacotes de solicitações de DNS / acks / etc. Você pode deixá-lo rodar pelo tempo que quiser, mas fique de olho no uso da memória. Por padrão, ele manterá 199 milhões de eventos no loop e você pode querer aumentar ou diminuir esse valor. No final do dia, você pode navegar pela lista manualmente ou ir para Ferramentas - > Resumo da rede e filtre por endereços IP individuais.

    
por 02.12.2015 / 11:17