基于Microsoft Network Monitor实现指定进程封包分析

Microsoft Network Monitor 下载地址

Microsoft Network Monitor是微软公司开发的一款Windows下的网络封包工具,功能类似与著名的封包工具Wireshark。

目前最新版本是3.4,已经8年没有更新了。看介绍上说,支持WinXP SP3到最新的Win10操作系统(Win10是自己测试可用)。

Wireshark很强大,毋庸置疑,但是有个遗憾就是一直都不支持过滤某个进程的网络封包。

之前也找过很多可以过滤某个进程的封包工具,大多都是注入dll去hook系统动态库ws2_32.dll的socket相关函数去实现的。

虽然也能实现功能,但是感觉跟驱动级的封包过滤工具相比,还是有点Low。

Microsoft Network Monitor的启动界面如下:

左下角蓝色区域,可以限定过滤哪个网络适配器的封包,左上角点击New Capture开始一个新的封包捕获。

开始新的捕获之后,可以点击Capture Settings,进行封包捕获的一些高级过滤配置,限定指定进程的封包也在这里设置。


输入过滤表达式:

并点击Apply,可以过滤只显示Chrome浏览器的封包。

保存后点击Start开始捕获封包。

 

备注:

在Windows  Vista以及之上的系统版本,需要管理员身份运行,才能获取到进程名称。

 

参考链接:

Network Monitor Conversation Filtering

Print Friendly, PDF & Email

留下评论

3 × 4 =

*

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

%d 博主赞过: