我们办公室里有一台电脑,它总是被病毒感染。因此,我想使用 Wireshark(或至少某种程序)来监控这台机器上的互联网流量一段时间。我怎样才能让它在启动时启动并开始监控而不弹出用户界面?我希望让它静默启动,这样他就不会知道我们正在监控他的流量。
编辑抱歉,是 Windows XP。
答案1
如果是内部盒子,那么应该有一个服务器作为他通向互联网的网关。设置 wireshark 来监控此盒子上的流量,并只为其 IP 地址设置规则。
或者,如果您没有一个中心节点可以监视,请设置 ettercap 并启动 arp 投毒。他的机器会默默地向您发送流量,您也会默默地传递这些流量。他的那一端会受到性能影响,但使用 wireshark 也会受到影响。
如果您想在他的机器上以后台静默方式启动 wireshark,您需要意识到 wireshark 本身是一个 GUI 应用程序。正如 Zoredache 所指出的,您可能希望改用基于命令行的工具。我能想到的唯一选择如下: http://www.wireshark.org/docs/man-pages/wireshark.html
将显示变量设置为主显示器以外的变量。最有可能的是,通过 ssh 转发的 X11 会话。此选项在 Windows 中不可用。
答案2
您需要一个命令行调用来实现这一点。例如,下载类似风转储。然后获取一个在登录时启动的计划任务,或者如果您想要较小的长达一小时的转储文件,则定期启动该计划任务。(它们可能会变得很大)捕获文件将可在 WireShark 中查看。
具体命令行可能是C:\foo\bar\windump.exe -i 1 -w C:\foo\bar\dumpfile.cap
。
你还需要隐藏计划任务的命令窗口。