Служба безопасности моей компании сообщила мне, что моя рабочая станция пингует некоторые IP-адреса из «черного списка». Инструмент корпоративной безопасности, сообщающий эту информацию, находится вместо обычного брандмауэра Windows, но, похоже, он не может определить, какой процесс является виновником.
Я восстановил устройство около шести месяцев назад по той же причине, и я почти уверен, что это просто приложение, использующее сеть доставки контента, которая в какой-то момент также использовалась некоторыми вредоносными программами; отсюда и заблокированные IP-адреса.
Обычно в такой ситуации комбинация Wireshark, netstat, TCPView и других инструментов помогает мне определить, какой процесс генерирует трафик. Однако для эхо-запросов ICMP кажется, что исходный процесс всегда является системной библиотекой DLL.
Какой-то поиск в гугле привел к странице, на которой действительно есть некоторые советы как сузить процесс проверив, какие загружены icmp.dll или iphlpapi.dll.В настоящее время у меня есть десятки процессов с загруженным iphlpapi.dll, поэтому попытка определить, какие из них могут отправлять эти запросы, займет довольно много времени.
Другая проблема заключается в том, что эти ICMP-запросы отправляются очень редко. Может пару раз в день. Так что в тот момент, когда я смотрю, процесс может даже не работать.
Что мне действительно нужно, так это инструмент, который я могу оставить включенным, который будет искать ICMP-запросы к этим IP-адресам, и как только они будут обнаружены, он идентифицирует процесс, который их сделал. Существует ли такая вещь? Есть ли еще один подход с низкими усилиями, который я упускаю?
