Questo riguarderebbe anche me! Un modo per attaccare questo è usare netstat -rnb dalla riga di comando, il -b mostrerà l'eseguibile che ha aperto ogni connessione. Poiché le sessioni probabilmente durano poco, probabilmente non avrai il tempo di eseguirle manualmente, quindi dovrai scrivere qualcosa. Ecco due modi per procedere:
- metodo super facile: scrivi un semplice script che condurrà semplicemente l'output a un file più e più volte finché non lo interromperai. Il comando sarebbe "netstat -rnb > > file.txt". Il modo più semplice per farlo sarebbe creare un file batch, ad esempio netst.bat, e avere 2 righe in esso:
netstat -rnb > > file.txt
netst.bat
I svantaggi di questo metodo sono che il file diventerà molto grande molto rapidamente, dovrai monitorarlo attentamente per assicurarti che non sfugga di mano, oppure puoi utilizzare la stringa di selezione di PowerShell per filtrare sulla porta numero se è coerente. Una volta che hai visto il traffico sospetto, puoi semplicemente cercare nel file l'indirizzo IP che hai visto e l'eseguibile dovrebbe essere lì, a meno che chiunque lo abbia scritto sia estremamente intelligente.
- l'altro, un po 'più complicato sarebbe scrivere uno script che esegua netstat -rnb più e più volte cercando il traffico che si è visto e fermandosi quando lo vede, emettendo le informazioni che si stanno cercando. L'unica cosa è che devi sapere che cosa stai cercando, se c'è una vasta gamma di indirizzi IP e porte questo potrebbe non essere pratico, e presuppone che tu abbia qualche conoscenza di scripting.