Güvenlik duvarım, Windows 7 bilgisayarımın giden bir ülkedeki şüpheli IP adreslerine giden bağlantıda olduğunu söylüyor. 5 farklı virüs / kötü amaçlı yazılım taraması yaptım, ancak temizim.
Hangi IP'lerin bu IP'lere bağlandığını nasıl belirleyebilirim? Bağlantı sabit değil, bu nedenle bu tür bir etkinliği kaydetmem ve daha sonra gözden geçirmem gerekeceğini tahmin ediyorum.
Yanıtlar:
Microsoft SysInternals ağ yardımcı programı TCPView muhtemelen bu amaç için kullanışlıdır:
https://technet.microsoft.com/en-us/sysinternals/tcpview
TCPView, yerel ve uzak adresleri ve TCP bağlantılarının durumu da dahil olmak üzere sisteminizdeki tüm TCP ve UDP uç noktalarının ayrıntılı listesini size gösterecek bir Windows programıdır.
Hangi IP'lerin bu IP'lere bağlandığını nasıl belirleyebilirim?
Kaynak İzleyicisi bunun için iyidir, ancak yalnızca gerçek zamanlı olarak bağlantıları izlemek için iyidir.
Bağlantı sabit değil, bu nedenle bu tür bir etkinliği kaydetmem ve daha sonra gözden geçirmem gerekeceğini tahmin ediyorum.
Böyle bir .bat betiği yapabilirsiniz:
:top
date /t
time /t
netstat /an
timeout 60
goto top
Sonra çalıştırın, bir günlük dosyasına çıktı:
batfilename.bat >> networkConnections.log
Yine de çıktıların ayrıştırılması zor olabilir.
Ağ İzleyicisi'ni kullanın . Tüm ağ faaliyetlerini ve hangi işlemlerin yer alacağını ele geçirecek. GUI'den yakalamayı bir dosyaya kaydetme, arka planda çalışmasına izin verme veya komut satırı aracını kullanma seçeneği yoktur.
cmd.exeYönetici olarak başlayın ve şunu yazın:
nmcap.exe /network * /capture /file c:\netmon.chn:100MB
Bu komut Ctrl-C, yakalama işlemini durdurmak ve içeriğini analiz etmek için dosyayı GUI Uygulaması ile açmak için yakalama işlemi bittiğinde her şeyi bir dosyaya kaydeder (maks. Boyut 100 MB'dir) . Not: Maks. dosya boyutuna ulaşıldığında, artan bir sayı ile yeni bir günlük dosyası oluşturacaktır.
Alternatif bir kullanım olarak bir ağ protokolü analizörü olan Wireshark . Tüm ağ trafiğini bir günlük dosyasına kaydeder. Ancak, yalnızca ağ katmanında çalıştığı için ilgili işlemleri günlüğe kaydetmez, ancak ilgili bağlantı noktalarını günlüğe kaydeder.
Gidin > Seçenekler> Çıkış Yakalama ve check kalıcı dosyaya Yakalama ve tıklama (isteğe bağlı kapak dosyasını kaydetmek için bir konum seçin) Başlat . Ardından tüm ağ etkinliklerini bir dosyaya kaydetmeye başlayacak ve ekranda canlı bir görünüm sunacaktır. En üste şu şekilde filtreler girin:
ip.src == 1.2.3.4
Bir işlem statik bir bağlantı noktasını dinliyorsa, kullanılarak tanımlanabilir netstat.
cmd.exeYönetici olarak başlayın ve şunu yazın:
netstat -anob
şu anda tüm dinleme işlemlerinin ve etkin ağ bağlantılarının bir listesini verir:
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 2784
[sshd.exe]
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 968
RpcSs
...