シリコンバレー ２４時

« JTPA技術交流会(20050824)

メイン

ベイエリア大学間連絡会議 (20050826) »

2005年8月25日

ポートを開いているヤツ（プロセス）は誰だ？

先日のエントリーで、ウィルスに感染していると考えられるノートPC について書いたが、 今回はその解析方法に関して調査した際のことを書いてみたい。

前回、ウィルスが感染していると思われるPCから 大量のパケットが発信されて、ルータがハングしてしまった、 と書いたが、その原因を突き止める必要がある。 AntiVirusでもウィルスが引っかからない状況において、 では、そのPCの中のどのプロセスが大量パケット発信を行っているか？ それをWindows既存のツールだけで知るのは難しい。

まず、IPコネクションに関しては、 netstatコマンド があるが、-a オプションを付けて実行すると、 現在のTCPのコネクション、それから、TCPとUDPのListen状態の ポート番号が一覧できる。 但し、この一覧からはどのプロセスがそれを行っているのか特定することができない。

ちなみに、WindowsXPのnetstatコマンドには、-o オプションが追加されて、 プロセス番号が併記できるようになったので、 タスクマネージャーと組み合わせれば そのプロセス番号からどのプロセスか判別できないことはない。 しかし、今回のノートPCのOSはWindows2000である。

このような場合に、IPのコネクション情報とプロセスの情報を同時に表示してくれる ツールがある。それが「ActivePorts」である。 このツールは、ポート情報と、そのプロセスの番号(PID)とプロセス名、その実行ファイルのパスまでもを リアルタイムにウィンドウでモニターできる。 オプションでアップデート・スピードを設定できるし、ポーズすることもできる。 コンパクトではあるが強力なツールである。

但し、今回の場合、この ActivePorts だけでは全ては解決しない。 プロセスがコネクションを張りに行く際、 コネクションが確立するまではリッスン状態であり、 相手のIPアドレスやポート番号が表示されないのである。 これでは、接続か確立しなければ、相手先のポート番号445に コネクションを試みているということを確認できない。

そのため、また別のツールが必要になるのだが それについては後日のエントリーとさせていただく。

カテゴリー: Windows , 通信     2005年8月25日 23:17

トラックバック

このエントリーのトラックバックURL:
http://www.skymerica.com/blog/yotsumoto/mt/mt-tb.cgi/166

コメント

コメントしてください

名前:

メールアドレス:

URL:
保存しますか? はいいいえ

コメント: