Ho già scritto tempo fa a proposito del comando netstat di windows, nel post Visualizzare le sessioni TCP/UDP attive con il prompt dei comandi.
Oggi spiegherò come identificare malware o applicazioni non gradite con questo semplice ma potente strumento.
Ecco come monitorare le connessioni TCP usando netstat, ed ottenere un log dettagliato dei processi che accedono ad internet a nostra insaputa:
Prima di iniziare la fase di monitoraggio è bene chiudere tutti i programmi che si collegano ad internet come il browser, i programmi di chat, i client peer 2 peer etc.. visto che vogliamo ottenere un file di log il più “pulito” possibile.
Accertatevi che sul computer non vi siano più connessioni attive, e lasciando il pc collegato ad interntet avviate il prompt dei comandi e digitate:
netstat -bn [intervallo] >connections.log
l’output delle statistiche sarà salvato in un file connections.log:
di tutte le connessioni TCP saranno loggati gli ip, le porte (-n) e il nome dei processi che hanno inizializzato le connessioni (-b). L’intervallo, specificato in secondi, è la frequenza con cui il comando viene richiamato in loop.
netstat -bn 10 >connections.log
Questo è potenzialmente un loop infinito, ma potete interromperlo in ogni momento premendo CTRL+C.
L’ideale sarebbe lasciarlo in ascolto per qualche ora, oppure durante la notte.
Ed ecco l’output, qui vedete una connessione ad msn messenger:
Active Connections
TCP 192.168.1.1:1031 207.46.108.86:1863 ESTABLISHED 288
[msnmsgr.exe][...]
Potreste anche automatizzare il termine del monitoraggio usando AT per interrompere il processo all’orario preferito:
C:\>time
The current time is: 00.00.00,00
Enter the new time:
C:\>at 06:00 cmd /c "taskkill /F /IM cmd.exe"
C:\>netstat -bn 10 >connections.log
RSS feed for comments on this post · TrackBack URI
Leave a reply