martes, 4 de octubre de 2016

connmon v1.0 - Lista las conexiones actuales

Es muy interesante saber qué proceso se está comunicando con un host remoto en un momento dado, sobre todo en diagnósticos donde existan sospechas de algún troyano.

Existen un par de herramientas muy recomendables para averiguar la información de las conexiones activas que se están produciendo en Windows: netstat y tcpview.

Dando una vuelta a las API's de Windows que utilizan la información de la pila TCP/IP encontré la posibilidad de crear una herramienta que me proporcionara en un momento dado la información realmente relevante para llevar a cabo un diagnóstico como el mencionado antes, de forma rápida y eficiente. Esta información sería: de la parte remota la IP y el puerto, y de la parte cliente el puerto, el ID del proceso cliente y la ubicación de la imagen ejecutable del proceso.

Para ello desarrollé una pequeña herramienta que solo me proporciona esta información: connmon.exe

Y el resultado puede ser así:


De un vistazo vemos que en un momento dado el proceso de experiencia de usuario de NVIDIA se está comunicando con una IP pública (supuestamente de NVIDIA) y Google Earth hace lo mismo con otras IPs (supuestamente de Google).

Si volvemos a ejecutar connmon.exe es muy posible que esta información sea distinta. Sería como hacer una foto de las conexiones actuales y verlas.

De esta forma, en caso de sospecha, connmon.exe nos ayuda a ser rápidos.

No hay comentarios: