识别DNS请求的PID源(Windows XP)
问题描述:
我希望识别发出DNS请求的进程。看着查询给了我一个线索,但并没有帮助我确定确切的过程。识别DNS请求的PID源(Windows XP)
我可以在Wireshark中看到本地端口号,但请求太短而无法被TCPView接收。
是否有一个记录工具,它会捕获DNS请求和PID?
答
Process Monitor Sysinternals会给你你想要的。将捕获限制为网络活动,您将看到活动以及PID和进程名称。该操作将是UDP发送和路径将读取像这样:pc-host-name:端口 - > dns服务器:域(注意:“域”指示端口53为DNS)。进程名称和PID将在左侧。
起初我打算推荐使用Netmon 3.4(来自Microsoft),因为这将显示进程名称和pid(pid需要添加为列)。但是,这似乎对我来说很麻烦,因为大多数流量没有使用进程名称/ pid进行标记。我不确定为什么会出现这种情况,但它可能适用于您。
在Windows上,大多数DNS查询都是由svchost.exe中托管的DNS客户端服务完成的,所以它不会真正帮助您知道哪个进程实际进行了网络操作。我不知道是否有任何日志可以找出谁发起了请求。 – Djof 2014-12-22 22:20:18
@Djof您可以尝试停止“DNS客户端”服务。之后,我相信,您将能够看到正在生成DNS查询的原始可执行文件。它在Windows 7上为我工作过一次。 – Alex 2017-11-09 19:19:47