我希望捕获 Windows 机器上往返所有接口的所有 IP 流量。
- 我必须能够捕获生成传出流量的进程 ID。
- 我需要能够从命令行触发捕获并在外部工具中自动解析捕获文件。
我正在尝试使用netsh,它似乎可以完成这项工作。但是,我在弄清楚如何提取我需要的信息时遇到了问题。
netsh trace start persistent=yes capture=yes tracefile=xxx然后运行netsh trace stop似乎可以捕获我需要的信息。如果我将生成的 .etl 文件加载到 Windows 消息分析器 (WMA) 中,那么我可以看到 IP 流量以及很多其他活动信息
我的具体问题是:
- 我如何限制
netsh仅捕获 IP 流量? - 如果没有 WMA 这样的工具,我该如何解析 etl 文件?
关于第二个问题。我已成功将 etl 文件转换为 xml 文件(使用tracerpt或)netsh trace convert。但是数据似乎不完整。例如,我看不到我知道流量已发送到的 IP 地址(已在 WMA 中确认)。可能它全部隐藏在某个二进制 blob 中。