Eso también me preocuparía! Una forma en que podría atacar esto es usar netstat -rnb desde la línea de comandos, la -b mostrará el archivo ejecutable que ha abierto cada conexión. Como las sesiones probablemente duren poco tiempo, es probable que no tenga tiempo para ejecutar esto manualmente, por lo que tendrá que escribir algo. Aquí hay 2 maneras en que puede hacer esto:
- método súper fácil: escriba un script simple que simplemente canalizará la salida a un archivo una y otra vez hasta que lo interrumpa. El comando sería "netstat -rnb > > file.txt". La forma más sencilla de hacer esto sería crear un archivo por lotes, digamos netst.bat, y tener 2 líneas en él:
netstat -rnb > > archivo.txt
netst.bat
Las desventajas de este método son que el archivo se volverá muy grande muy rápidamente, tendrá que monitorearlo de cerca para asegurarse de que no se le escape de las manos, o puede usar la cadena de selección de powershell para filtrar en el puerto Número si es consistente. Una vez que haya visto el tráfico sospechoso, simplemente puede buscar en el archivo la dirección IP que vio, y el ejecutable debería estar allí a menos que quien lo haya escrito sea extremadamente inteligente.
- la otra forma, un poco más complicada, sería escribir un script que ejecute netstat -rnb una y otra vez buscando el tráfico que ha visto y detenerse cuando lo ve, generando la información que está buscando. Lo único es que necesita saber lo que está buscando, si hay una amplia gama de direcciones IP y puertos, esto puede no ser práctico, y se supone que tiene conocimientos de scripting.