-
-
[原创]基于Microsoft Network Monitor实现指定进程封包分析
-
发表于: 2018-3-27 12:55
-
Microsoft Network Monitor 下载地址
Microsoft Network Monitor是微软公司开发的一款Windows下的网络封包工具,功能类似与著名的封包工具Wireshark。
目前最新版本是3.4,已经8年没有更新了。看介绍上说,支持WinXP SP3到最新的Win10操作系统(Win10是自己测试可用)。
Wireshark很强大,毋庸置疑,但是有个遗憾就是一直都不支持过滤某个进程的网络封包。
之前也找过很多可以过滤某个进程的封包工具,大多都是注入dll去hook系统动态库ws2_32.dll的socket相关函数去实现的。
虽然也能实现功能,但是感觉跟驱动级的封包过滤工具相比,还是有点Low。
Microsoft Network Monitor的启动界面如下:
左下角蓝色区域,可以限定过滤哪个网络适配器的封包,左上角点击New Capture开始一个新的封包捕获。
开始新的捕获之后,可以点击Capture Settings,进行封包捕获的一些高级过滤配置,限定指定进程的封包也在这里设置。
输入过滤表达式:
Conversation.ProcessName.Contains("chrome.exe")
并点击Apply,可以过滤只显示Chrome浏览器的封包。
保存后点击Start开始捕获封包。备注:
在Windows Vista以及之上的系统版本,需要管理员身份运行,才能获取到进程名称。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2018-3-27 12:56
被bxc编辑
,原因:
