isolar o aplicativo e verificar quais pacotes ele está enviando pela internet

Não tenho certeza de que esse tipo de pergunta seja apropriado aqui, então me perdoe se estiver errado.

Aqui está um problema: quero ver o que um programa específico está enviando para a Internet, mas o problema é que no computador existem muitos aplicativos e serviços que estão usando a Internet. Portanto, é impossível descobrir em quais pacotes foram enviados por um aplicativo em que estou interessado.

Uma maneira é tentar fechar todos os outros aplicativos, mas isso é impossível.

Então, existe uma maneira de isolar um aplicativo específico? Estou trabalhando no windows7 e capturando pacotes com o wireshark

Como você está usando o Wireshark, seus números de porta não são automaticamente resolvidos para o nome de um aplicativo, portanto, você precisará fazer um pouco mais para refinar as informações que está procurando. Todo aplicativo que usa TCP / IP para se comunicar através de uma rede estará usando portas, para que a pilha de rede saiba para onde entregar os segmentos (eu gosto de chamá-lo de endereço de aplicativo).

Os clientes que se conectam a um aplicativo de servidor em uma porta específica receberão dinamicamente um número de porta de um intervalo dinâmico. Então, primeiro você precisa descobrir quais conexões TCP / UDP seu aplicativo abriu:

netstat -b

na linha de comando, você verá uma lista de conexões com o nome do executável que criou a conexão. Cada executável possui uma ou mais conexões listadas como 127.0.0.1:xxxxx, em que X é o número da porta local para a conexão.

Agora, no wireshark, você precisa dizer a ele para exibir pacotes originados ou destinados a essa porta usando um ou mais destes filtros:

tcp.port == xxxxx ou udp.port == xxxxx

Adicione um adicional or tcp.port == xxxxxpara cada conexão que você deseja mostrar.

Isso permitirá que você veja todo o tráfego das conexões que seu aplicativo abriu e o Wireshark não incluirá apenas segmentos TCP / UDP brutos, mas incluirá os vários protocolos da camada de aplicativo (por exemplo, HTTP) que também usaram esses números de porta.

Se seu aplicativo parecer estar se comunicando com apenas um servidor, você poderá usar o endereço IP desse servidor para filtrar por:

ip.addr == x.x.x.x

Se você usar o Process Monitor da Microsoft , poderá alterar os filtros para mostrar apenas as comunicações de rede de processos específicos. Ele não fornece o conteúdo dos pacotes, mas mostra com quais hosts o aplicativo está falando.

O Microsoft Network Monitor mostrará o processo responsável pelo fluxo de tráfego.

Achei o Microsoft Message Analyzer muito útil para exatamente o mesmo propósito. Permite capturar o tráfego de rede e agregá-lo por árvore de processos.

Use o System Internals Process Monitor para obter o número do processo do aplicativo e confira as outras ferramentas Internas do Sistema em:

https://docs.microsoft.com/en-us/sysinternals/

Abra o cmd.exe e execute, mostre as opções da linha de comando netstat, netstat /? .

Agora tente netstat -bo 1 >> c: /test.log. Isso permitirá que você encontre os dados de conexão de rede de aplicativos específicos em um arquivo atualizado continuamente.

Lembre-se de que você precisa parar o netstat -bo >> c: /test.log de gravar no log digitando um ctl-C na janela do cmd.

Apenas substitua My_Applicationpelo aplicativo PNAMEouPID

netstat --programas | grep "My_Application"

Não testei no Windows 7. mas funciona no Linux.