お薦め ページ


メニュー

ハワイ島 遊覧飛行ツアー

ハワイ島 B&B・ホテル

ハワイ島 不動産情報

ハワイ島 情報・観光ガイド

ブログ(Blog)

その他

関連サイト

: 個別エントリー・アーカイブ :

2005年8月25日

ポートを開いているヤツ(プロセス)は誰だ?

先日のエントリーで、ウィルスに感染していると考えられるノートPC について書いたが、 今回はその解析方法に関して調査した際のことを書いてみたい。

前回、ウィルスが感染していると思われるPCから 大量のパケットが発信されて、ルータがハングしてしまった、 と書いたが、その原因を突き止める必要がある。 AntiVirusでもウィルスが引っかからない状況において、 では、そのPCの中のどのプロセスが大量パケット発信を行っているか? それをWindows既存のツールだけで知るのは難しい。

まず、IPコネクションに関しては、 netstatコマンド があるが、-a オプションを付けて実行すると、 現在のTCPのコネクション、それから、TCPとUDPのListen状態の ポート番号が一覧できる。 但し、この一覧からはどのプロセスがそれを行っているのか特定することができない。

ちなみに、WindowsXPのnetstatコマンドには、-o オプションが追加されて、 プロセス番号が併記できるようになったので、 タスクマネージャーと組み合わせれば そのプロセス番号からどのプロセスか判別できないことはない。 しかし、今回のノートPCのOSはWindows2000である。

このような場合に、IPのコネクション情報とプロセスの情報を同時に表示してくれる ツールがある。それが「ActivePorts」である。 このツールは、ポート情報と、そのプロセスの番号(PID)とプロセス名、その実行ファイルのパスまでもを リアルタイムにウィンドウでモニターできる。 オプションでアップデート・スピードを設定できるし、ポーズすることもできる。 コンパクトではあるが強力なツールである。

但し、今回の場合、この ActivePorts だけでは全ては解決しない。 プロセスがコネクションを張りに行く際、 コネクションが確立するまではリッスン状態であり、 相手のIPアドレスやポート番号が表示されないのである。 これでは、接続か確立しなければ、相手先のポート番号445に コネクションを試みているということを確認できない。

そのため、また別のツールが必要になるのだが それについては後日のエントリーとさせていただく。

カテゴリー: Windows , 通信     2005年8月25日 23:17

トラックバック

このエントリーのトラックバックURL:
http://www.skymerica.com/blog/yotsumoto/mt/mt-tb.cgi/166


コメント

コメントしてください




保存しますか?


 
ハワイ島での遊覧飛行ツアーとB&Bのスペシャリスト、スカイメリカ
Copyright © 2003,2009 Skymerica Corp. All rights reserved.