Điểm:0

Làm cách nào để xem quá trình đang sử dụng cổng nào?

lá cờ it

Trong khi thử nghiệm phần mềm của chúng tôi, một khách hàng doanh nghiệp lớn đã có thể phát hiện ra phần mềm cấp phép của bên thứ ba bằng cách sử dụng cổng 137.

Cho đến thời điểm này, chúng tôi chỉ biết phần mềm cấp phép sử dụng cổng 443.

Tôi đã xem xét vấn đề này với netstat, Get-NetTCPConnection và TCPView nhưng tôi chỉ có thể tìm thấy hoạt động của quy trình trên cổng 443.

Khi tôi hỏi công ty cấp phép về điều này, họ thừa nhận rằng họ sử dụng 137 để lấy UUID cho một số loại giấy phép nhất định.

Tôi chưa có kinh nghiệm về kết nối mạng và hy vọng rằng bạn có thể cho tôi biết cách tự mình xem hành vi này.

joeqwerty avatar
lá cờ cv
`1.` Khách hàng cho biết họ đã thấy hành vi này và công ty cấp phép cho biết điều đó là đúng.Tại sao bạn cần phải nhìn thấy nó cho chính mình? `2.` Khách hàng muốn bạn làm gì về điều đó?
NinjaLlama avatar
lá cờ it
1. Tôi muốn xem nó vì tôi không biết nó đang được sử dụng. Không muốn bị che mắt bởi phần mềm của chúng tôi đang làm những việc mà chúng tôi không mong đợi một lần nữa. 2. Khách hàng sẽ không cho phép sử dụng cổng này.
dave_thompson_085 avatar
lá cờ jp
Cổng 137 là netbios-ns (dịch vụ tên netbios) và mặc dù cả TCP và UDP đều được dành riêng nhưng Windows chỉ sử dụng UDP, vì vậy bạn sẽ không bao giờ thấy 'kết nối' khi sử dụng cổng này (UDP không có kết nối). `netstat -nao` hoặc tcpview với 'hiển thị các điểm cuối chưa được kết nối' _on_ (và tốt nhất là tắt 'giải quyết địa chỉ') sẽ hiển thị nó; họ làm trên hệ thống của tôi (W10 home). Tuy nhiên, việc sử dụng dịch vụ này trải qua quy trình giả 4 (Hệ thống) nên tôi không nghĩ bạn sẽ thấy (những) chương trình nào đang sử dụng dịch vụ đó.
Tilman Schmidt avatar
lá cờ bd
Bạn cần cụ thể hơn về ý nghĩa của phần mềm "sử dụng cổng". Nó có thể được hiểu là "chấp nhận kết nối trên cổng" hoặc "tạo kết nối tới cổng đó trên một số dịch vụ khác" hoặc cả hai. Tùy thuộc vào ý nghĩa mà bạn đang đề cập, bạn cần các công cụ khác nhau và bạn có thể bỏ sót hoàn toàn trường hợp thứ hai vì việc sử dụng có thể phụ thuộc vào các điều kiện cụ thể.
NinjaLlama avatar
lá cờ it
@TilmanSchmidt Nó đang gửi các gói qua cổng 137. Tôi có thể nhìn thấy nó bằng SmartSniff trong khi thực hiện phần mềm.
Tilman Schmidt avatar
lá cờ bd
Điều đó không có ý nghĩa. Một cổng không phải là thứ bạn "gửi" các gói "đi qua". Nó là một thuộc tính ở phía nguồn hoặc đích của kết nối TCP. Đó là một sự khác biệt cơ bản cho dù một ứng dụng đang chấp nhận các kết nối đến trên một cổng hay tạo các kết nối đi đến một cổng.
NinjaLlama avatar
lá cờ it
Nó có thể không có ý nghĩa bởi vì tôi không hiểu những gì tôi đang nói về. Sau khi nghiên cứu một chút, tôi tin rằng nó đang tạo ra các kết nối hướng ngoại. Cổng 137 không mở trên tường lửa hoặc bộ định tuyến nhưng tôi đang chọn các gói bằng SmartSniff.Điều này khiến tôi tin rằng vì tôi đang phát hiện các gói mà chúng đang gửi đi vì tôi không nghĩ rằng chúng có thể đến do cổng đã đóng.
Điểm:0
lá cờ us

Bạn có thể sử dụng Trình theo dõi tài nguyên. Nó sẽ hiển thị mọi kết nối TCP và chương trình nào đang lắng nghe trên cổng nào.

Thay thế sẽ được sử dụng netstat trong dấu nhắc lệnh.

NinjaLlama avatar
lá cờ it
Ok, tôi sẽ thử Resource Monitor để phát hiện hành vi này. Tôi đã dùng thử netstat và không thể thấy bất kỳ việc sử dụng cổng 137 nào từ phần mềm này.
NinjaLlama avatar
lá cờ it
Tôi đã bắt đầu theo dõi tài nguyên và chạy ứng dụng. Tôi vẫn chỉ thấy cổng 443 trên này cũng như trên netstat.
Điểm:0
lá cờ cn

Nirsoft.net có một công cụ gọi là đánh hơi thông minh. bạn nên có NPCap hoặc cài WinPcap để sử dụng. SmartSniff ghi lại từng kết nối mà máy tính của bạn thực hiện và hiển thị một dòng trên mỗi kết nối. Trong cột Cổng từ xa, tại một thời điểm nào đó, bạn sẽ thấy một kết nối đến một số Máy chủ trên cổng 137 và quy trình nào đã bắt đầu kết nối đó. Có các tùy chọn lọc cũng như các tùy chọn cấu hình khác có thể tiết lộ những gì bạn đang tìm kiếm.

Theo mặc định, nó không nắm bắt thông tin quy trình, vì vậy bạn sẽ cần định cấu hình nó:

  • Sau khi cài đặt NPCap, hãy khởi chạy SmartSniff.
  • Nhấn F6 để tạm dừng các ảnh chụp đang hoạt động
  • Mở menu Tùy chọn:
    • Chọn 'Tùy chọn chụp ảnh' ở dưới cùng
    • Nếu cần, hãy đổi thành 'Trình điều khiển chụp gói WinPcap' và đóng menu
  • Mở menu Tùy chọn:
    • Chọn 'Truy xuất thông tin quy trình trong khi chụp các gói' và nhấp vào OK.
  • Nhấn F5 để bắt đầu chụp lại. SmartSniff trông như thế này:

.

NinjaLlama avatar
lá cờ it
Cảm ơn đã phản ứng chi tiết. Tôi đã làm theo điều này và thấy cách sử dụng cổng 443 giống như tôi đã thấy trước đây và mong đợi. Tôi không biết họ đang tìm cách sử dụng cổng 137 này ở đâu.
NinjaLlama avatar
lá cờ it
Sau khi chẩn đoán lâu, tôi có thể sử dụng công cụ này để thấy rằng lưu lượng truy cập netbios-ns của tôi xảy ra sau khi pdf tải xong trong điều khiển WebBrowser. Bây giờ chỉ cần tìm hiểu tại sao điều này lại xảy ra và liệu tôi có thể ngăn chặn nó không.
Điểm:0
lá cờ gr

Hãy thử công cụ này kiểm tra đám đông

Ứng dụng này là công cụ Kiểm tra quy trình dựa trên máy chủ cho mục đích phân tích phần mềm độc hại Ảnh chụp màn hình, nó có tính năng giám sát hoạt động mạng của tiến trình trực tiếp\Lịch sử, hy vọng nó sẽ hữu ích :).

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.