Nhóm bảo mật của công ty tôi đã thông báo cho tôi rằng máy trạm của tôi đang gửi tín hiệu đến một số địa chỉ IP "được liệt kê trong danh sách đen". Công cụ bảo mật doanh nghiệp báo cáo thông tin này nằm ở vị trí của tường lửa Windows thông thường, nhưng có vẻ như nó không thể biết quy trình nào là thủ phạm.
Tôi đã xây dựng lại thiết bị khoảng sáu tháng trước vì lý do tương tự và tôi khá chắc chắn rằng đó chỉ là một ứng dụng đang sử dụng mạng phân phối nội dung tình cờ cũng đã bị một số phần mềm độc hại sử dụng vào một thời điểm nào đó; do đó các IP được liệt kê trong danh sách chặn.
Thông thường, trong tình huống này, sự kết hợp của Wireshark, netstat, TCPView và các công cụ khác sẽ giúp tôi tìm ra quy trình nào đang tạo ra lưu lượng truy cập. Tuy nhiên, đối với các yêu cầu tiếng vang ICMP, có vẻ như quy trình nguồn luôn là một DLL hệ thống.
Một số googling đã dẫn đến một trang có một số lời khuyên về cách thu hẹp quy trình bằng cách kiểm tra cái nào đã tải icmp.dll hoặc iphlpapi.dll.Tôi hiện có hàng tá quy trình với iphlpapi.dll được tải, vì vậy việc cố gắng thu hẹp quy trình có thể gửi các yêu cầu này sẽ mất khá nhiều thời gian.
Một vấn đề khác là các yêu cầu ICMP này được gửi rất không thường xuyên. Có lẽ một vài lần một ngày. Vì vậy, tại thời điểm tôi đang tìm kiếm, quy trình thậm chí có thể không chạy.
Điều tôi thực sự cần là một công cụ mà tôi có thể tiếp tục chạy để tìm kiếm các yêu cầu ICMP tới các địa chỉ IP này và ngay khi chúng được nhìn thấy, nó sẽ xác định quy trình tạo ra chúng. Có một điều như vậy tồn tại? Có cách tiếp cận nỗ lực thấp nào khác mà tôi đang thiếu không?
