Durante il debug della mia applicazione web su Fiddler, ho scoperto che ci sono alcune richieste sospette in alcuni siti di hotel, le richieste di ricerca su google.pl. ecc. Vedi sotto le immagini. Stranamente non ci sono processi visualizzati in Fiddler.
È sicuramente un virus. Non so come scoprire quale software o processo lo sta causando. Qualsiasi aiuto per analizzare e proteggere ulteriormente il mio sistema è molto apprezzato.
Non vedrai un processo se la richiesta non proviene dalla macchina locale, I.E., se stai permettendo ad altre macchine di eseguire il proxy tramite Fiddler. Controlla il menu Tools | Telerik Fiddler Options e sulla scheda Connections , verifica se l'opzione "Consenti ai computer remoti di connettersi" è selezionata. Se lo è, è probabile che queste richieste provengano e perché non sia possibile identificare il processo a cui sono associate.
Puoi provare:
netstat -abn
Che mostrerà il processo, se disponibile.
Puoi anche provare:
netstat -aon
Che mostrerà il PID che puoi quindi cercare nel task manager.
Tuttavia, potrebbe non essere visualizzato in nessuno di quei luoghi a seconda di quanto sia furtivo. Se non compare, ci sono tecniche per usare cose come Logman che registra l'attività di Winsock, ma da lì diventa un po 'complicato.
Suggerirei Sysinternals: link .
Questi strumenti sono utili nel tuo toolkit quando si investiga su comportamenti strani:
TCPView ti mostrerà le connessioni aperte e ti consentirà di forzare la chiusura delle connessioni.
Questo programma mostra i programmi che vengono avviati all'avvio e ti consentiranno di rimuoverli dall'avvio automatico. Windows ha un numero di punti in cui i programmi possono essere iniettati per l'avvio automatico.
Questi programmi ti consentono di visualizzare i processi in esecuzione, le informazioni sulla proprietà, aprire i file e aprire le porte, scaricare la memoria di proprietà del processo e lasciarti uccidere questi programmi.
Leggi altre domande sui tag virus http-proxy fiddler