Ho la seguente situazione. Ho il compito di assicurarmi che le workstation dei nostri clienti siano perfettamente pulite da un punto di vista Malware. Siamo stati benedetti con Websense come uno strumento dannoso per identificare il traffico in uscita.
Diciamo che per un determinato host vedo del traffico sospetto e voglio identificare qual è il processo che lo sta causando (le workstation sono Win 7 a 32 bit).
Anche netstat aiuta solo se il processo è sempre in esecuzione. Per il traffico limitato il processo incriminato non è sempre evidente.
Il dolore deriva da quanto segue: abbiamo solo un account pseudo-amministratore con il quale abbiamo solo l'accesso alla riga di comando remoto. Nessun powershell, nessuna possibilità di eseguire programmi con GUI (cioè Process Explorer) e ci viene richiesto di interrompere gli utenti durante il loro lavoro.
Per questo motivo sto cercando di padroneggiare l'arte nascosta della traccia netsh. Ma per periodi di tempo più lunghi, anche se aggiungo filtri per tipo ethernet, protocollo e ip, i log diventano enormi con le voci per il kernel di Windows, e ci vuole sempre un tempo per scaricarli dall'host per l'analisi.
Fino ad ora non ho trovato alcun modo per eliminarli. Ho pensato che ci doveva essere un modo con scenari e / o fornitori, ma non ho potuto trovare una descrizione per quelli ovunque.
Inoltre non ho trovato un modo per farlo usando uno strumento SysInternals solo dalla CLI.
Qualche suggerimento per strumenti o metodi per eseguire l'attività?