Рейтинг:0

Server

Как узнать, какие порты использует процесс?

NinjaLlama

04.09.2023, 01:58

При тестировании нашего программного обеспечения крупный корпоративный заказчик смог обнаружить стороннее лицензионное программное обеспечение, использующее порт 137.

До этого момента мы знали только о лицензионном программном обеспечении, использующем порт 443.

Я изучил это с помощью netstat, Get-NetTCPConnection и TCPView, но я могу найти активность процесса только на порту 443.

Когда я спросил об этом лицензионную компанию, они подтвердили, что используют 137 для получения UUID для определенных типов лицензий.

У меня нет опыта работы с сетями, и я надеюсь, что вы можете сказать мне, как увидеть это поведение для себя.

140

0 + 0

брандмауэр

порт

веб-приложения

joeqwerty

04.09.2023, 02:55

`1.` Клиент сказал, что видел такое поведение, и лицензирующая компания сказала, что это правда.Зачем вам это нужно видеть своими глазами? `2.` Что клиент хочет, чтобы вы сделали по этому поводу?

Ответить

NinjaLlama

04.09.2023, 03:01

1. Я хочу его увидеть, потому что не знал, что он используется. Не хочу, чтобы наше программное обеспечение снова делало то, чего мы не ожидаем. 2. Клиент не разрешает использовать этот порт.

Ответить

dave_thompson_085

05.09.2023, 02:52

Порт 137 — это netbios-ns (служба имен netbios), и хотя и TCP, и UDP зарезервированы, Windows использует только UDP, поэтому вы никогда не увидите «соединение» с использованием этого порта (UDP не имеет соединений). `netstat -nao` или tcpview с включенным 'показывать неподключенные конечные точки' (и, желательно, выключенным 'разрешать адреса') должны показать это; они делают в моей системе (дом W10). Однако использование этой службы проходит через псевдопроцесс 4 (Система), поэтому я не думаю, что вы увидите, какие программы ее используют.

Ответить

Tilman Schmidt

05.09.2023, 22:36

Вам нужно уточнить, что вы подразумеваете под программным обеспечением, «использующим порт». Это может быть интерпретировано либо как «прием подключений к порту», либо как «установление подключений к этому порту в какой-либо другой службе», либо как то и другое. В зависимости от того, какое значение вы имеете в виду, вам нужны разные инструменты, и вы можете вообще пропустить второй случай, потому что использование может зависеть от конкретных условий.

Ответить

NinjaLlama

07.09.2023, 19:03

@TilmanSchmidt Он отправляет пакеты через порт 137. Я смог увидеть это с помощью SmartSniff при выполнении программного обеспечения.

Ответить

Tilman Schmidt

07.09.2023, 22:40

Это не имеет смысла. Порт - это то, через что вы "отправляете" пакеты. Это атрибут на стороне источника или назначения TCP-соединения. Существенная разница заключается в том, принимает ли приложение входящие соединения через порт или выполняет исходящие соединения с портом.

Ответить

NinjaLlama

08.09.2023, 14:37

Возможно, это не имеет смысла, потому что я не понимаю, о чем говорю. После небольшого исследования я считаю, что он делает исходящие соединения. Порт 137 не открыт на брандмауэрах или маршрутизаторах, но я получаю пакеты с помощью SmartSniff.Это заставляет меня поверить, что, поскольку я обнаруживаю пакеты, они исходящие, потому что я не думаю, что они могут быть входящими из-за закрытого порта.

Ответить

Рейтинг:0

Server

Manu

04.09.2023, 06:07

Вы можете использовать монитор ресурсов. Он покажет каждое TCP-соединение и какая программа прослушивает какой порт.

Альтернативой было бы использование нетстат в командной строке.

0 + 0

NinjaLlama

04.09.2023, 11:57

Хорошо, я попробую Resource Monitor, чтобы обнаружить это поведение. Я уже пробовал netstat и не смог увидеть использование порта 137 этим программным обеспечением.

Ответить

NinjaLlama

05.09.2023, 00:15

Я запустил монитор ресурсов и запустил приложение. Я все еще вижу только порт 443, а также снова netstat.

Ответить

Рейтинг:0

Server

Mohammed Almudhafar

05.09.2023, 22:09

Попробуйте этот инструмент массовый осмотр

Это приложение представляет собой инструмент проверки процессов на основе хоста для целей анализа вредоносных программ. Скриншот, у него есть мониторинг сетевой активности процесса live\History, надеюсь, это поможет :).

0 + 0

Рейтинг:0

Server

RobW

05.09.2023, 01:09

У Nirsoft.net есть инструмент для этого, который называется Умный нюх. У вас должно быть NPCap или установлен WinPcap для его использования. SmartSniff записывает каждое соединение, которое делает ваш компьютер, и отображает одну строку для каждого соединения. В столбце «Удаленный порт» вы должны в какой-то момент увидеть подключение к какому-либо хосту через порт 137 и какой процесс инициировал это подключение. Существуют параметры фильтрации, а также другие параметры конфигурации, которые могут выявить то, что вы ищете.

По умолчанию он не собирает информацию о процессе, поэтому вам необходимо настроить его:

После установки NPCap запустите SmartSniff.
Нажмите F6, чтобы остановить активные захваты
Откройте меню параметров:
- Выберите «Параметры захвата» внизу
- При необходимости измените на «Драйвер захвата пакетов WinPcap» и закройте меню.
Откройте меню параметров:
- Выберите «Получить информацию о процессе при захвате пакетов» и нажмите «ОК».
Нажмите F5, чтобы снова начать захват. SmartSniff выглядит так:

0 + 0

NinjaLlama

06.09.2023, 01:34

Спасибо за подробный ответ. Я следил за этим и вижу то же использование порта 443, которое я видел раньше и ожидал. Я понятия не имею, где они находят использование этого порта 137.

Ответить

NinjaLlama

07.09.2023, 15:53

После длительной диагностики я смог использовать этот инструмент, чтобы обнаружить, что мой трафик netbios-ns возникает после завершения загрузки PDF-файла в элементе управления WebBrowser. Теперь нужно просто выяснить, почему это происходит и могу ли я это остановить.

Ответить

Admin