Bagaimana menemukan exe mendengarkan di port?

10

Saya mencoba dengan netstat -ab -p tcp -n dan di antara hasilnya dapatkan:

  TCP    0.0.0.0:47001          0.0.0.0:0              LISTENING
Can not obtain ownership information

Saya menjalankan sebagai administrator dan menerima pesan itu. Saya juga mengunduh sebuah utilitas untuk menunjukkan aktivitas jaringan untuk exe tetapi tidak ada yang terbuka mendengarkan pada port 47001 sesuai dengan utilitas.

Bagaimana saya bisa mengetahui apa yang sedang mendengarkan?

Jay White
sumber
Apakah Anda mencoba sesuatu seperti Wireshark?
vvsraju
@vvsraju wireshark terkenal karena (dimengerti) tidak menunjukkan EXE. Itu tidak disebutkan dalam paket.
barlop

Jawaban:

11

Cobalah netstat -ountuk mendapatkan id proses (PID) dan kemudian gunakan tasklist |findstr <pid>untuk melihat nama dan jenis proses. Task Manager juga menunjukkan PID dan nama proses.

Anda dapat menggabungkan switch lainnya dengan -oseperti:netstat -bona -p tcp

barlop
sumber
Saya tidak menyebutkan -b karena netstat dengan -b dapat berguna tetapi beberapa masalah, A) memerlukan admin priv, dan B) membutuhkan waktu untuk memberikan hasil.
barlop
tasklist | findadalah masalah (karenanya juga tidak disebutkan sebelumnya diedit), karena aneh karena beberapa alasan, itu tidak selalu berhasil. Apa yang selalu berfungsi dengan memfilter daftar tugas adalah daftar tugas> a then type a |find(atau seperti yang lebih disukai, temukan file pola - satu perintah).
barlop
Saya terkadang menggunakan netstat -b dengan grep. netstat -abon | grep ":33" -A 1(nama proses datang dalam tanda kurung siku satu baris setelah, kadang-kadang dua baris setelah jadi -A 2. Orang mungkin lupa dan melakukan grep -C 2 hanya untuk info lebih lanjut. Atau ke file (netstat -abon> a) lalu grep, jika Saya perlu grep lebih dari sekali (karena -b memperlambatnya). Adapun switch yang berguna, Anda dapat melakukan netstat -aonp tcp atau bahkan netstat -paon tcp Ketika Anda menyaring untuk menemukan maka ada sedikit kebutuhan untuk -p tcp. Jadi netstat -aon | find ":1234"(untuk port) atau | cari "1234" untuk PID
barlop
4

Karena Anda berbicara tentang windows, Anda dapat menggunakan " netstat -b " untuk melihat executable mana yang menggunakan port itu.

Atau, TCPVIew Sysinternal melakukan hal yang sama, tetapi dengan cara yang jauh lebih baik.

ndrix
sumber
Dia -bsudah menggunakan ; itu di -ab. Juga, kontraksi "Anda" adalah "Anda".
Cees Timmerman
1

http://www.iana.org/assignments/port-numbers mendaftar port ini sebagai: winrm 47001 / tcp Layanan Manajemen Jarak Jauh Windows Ryan Mack rmack & microsoft.com 29 April 2009

Nah, itu tidak membuktikan bahwa itulah yang menggunakannya di komputer Anda, tapi itu dugaan yang cukup bagus.

Jamie Cox
sumber
Saya melihat itu juga, tetapi saya ingin memastikan. Jika ini adalah layanan windows mengapa netstat tidak bisa mendapatkan info kepemilikan?
Jay White
@ JayWhite Saya kira -bmencari jalan, yang Systemtidak dimiliki layanan.
Cees Timmerman