公司安全团队通知我,我的工作站正在 ping 一些“黑名单”IP 地址。报告此信息的企业安全工具代替了通常的 Windows 防火墙,但它似乎无法分辨哪个进程是罪魁祸首。
大约六个月前,我因为同样的原因重建了该设备,我很确定这只是一个使用内容传送网络的应用程序,而这个网络恰好也被某些恶意软件使用过;因此将 IP 列入了黑名单。
通常在这种情况下,Wireshark、netstat、TCPView 和其他工具的组合可以帮助我确定哪个进程正在生成流量。但是,对于 ICMP 回显请求,源进程似乎始终是系统 DLL。
通过谷歌搜索,你会看到一个页面,其中确实有一些关于如何缩小流程的建议通过检查哪些进程已加载 icmp.dll 或 iphlpapi.dll。我目前有几十个进程已加载 iphlpapi.dll,因此尝试缩小可能发送这些请求的进程范围将需要相当长的时间。
另一个问题是这些 ICMP 请求发送频率非常低。可能一天才几次。所以在我查看的时候,该进程可能甚至没有运行。
我真正需要的是一个可以一直运行的工具,它会查找对这些 IP 地址的 ICMP 请求,一旦发现这些请求,它就会识别发出这些请求的进程。有这样的工具吗?我还缺少另一种省力的方法吗?