在测试我们的软件时,一家大型企业客户能够使用端口 137 检测到第三方许可软件。
到目前为止,我们只知道许可证软件使用端口 443。
我已经使用 netstat、Get-NetTCPConnection 和 TCPView 研究了这个问题,但我只能在端口 443 上找到进程活动。
当我向许可公司询问此事时,他们承认他们使用 137 来获取某些许可类型的 UUID。
我对网络缺乏经验,希望您能告诉我如何亲自看待这种行为。
答案1
Nirsoft.net 有一个用于此目的的工具,称为智能嗅探。 你应该有神经网状结构或已安装 WinPcap 才能使用它。SmartSniff 记录您的计算机建立的每个连接,并为每个连接显示一行。在远程端口列中,您应该在某个时候看到与端口 137 上的某个主机的连接,以及哪个进程发起了该连接。有过滤选项以及其他配置选项可能会显示您正在寻找的内容。
默认情况下,它不会捕获进程信息,因此您需要对其进行配置:
- 安装 NPCap 后,启动 SmartSniff。
- 按 F6 停止活动捕获
- 打开选项菜单:
- 选择底部的“捕获选项”
- 如果有必要,请更改为“WinPcap 数据包捕获驱动程序”并关闭菜单
- 打开选项菜单:
- 选择‘捕获数据包时检索进程信息’,然后单击‘确定’。
- 按 F5 再次开始捕获。SmartSniff 如下所示:
答案2
您可以使用资源监视器。它将显示每个 TCP 连接以及哪个程序正在监听哪个端口。
另一种方法是使用网络状态在命令提示符中。