Tengo la siguiente situación. Tengo la tarea de asegurarme de que las estaciones de trabajo de nuestros clientes estén absolutamente limpias desde el punto de vista de Malware. Hemos sido bendecidos con Websense como una herramienta de identificación de tráfico saliente malicioso.
Digamos que para un host determinado veo algo de tráfico sospechoso y quiero identificar cuál es el proceso que lo está causando (las estaciones de trabajo son Win 7 32 bit).
También netstat ayuda solo si el proceso siempre se está ejecutando. Para el tráfico escaso, el proceso ofensivo no siempre es obvio.
El dolor viene de lo siguiente: solo tenemos una cuenta de pseudo administrador con la cual solo tenemos acceso remoto a la línea de comandos. Sin PowerShell, sin capacidad para ejecutar programas con GUI (es decir, Process Explorer), y estamos obligados a interrumpir mínimamente a los usuarios durante su trabajo.
Debido a esto, estoy tratando de dominar el arte oculto de netsh trace. Pero durante períodos de tiempo más largos, aunque agrego filtros para el tipo de Ethernet, el protocolo y la ip, los registros se vuelven enormes con las entradas para el kernel de Windows, y se demora una eternidad en descargarlos del host para su análisis.
Hasta ahora no he encontrado ninguna forma de eliminarlos. Pensé que debía haber una manera con los escenarios y / o proveedores, pero no podía encontrar una descripción para aquellos en cualquier lugar.
Tampoco encontré una forma de hacer esto usando ninguna herramienta SysInternals solo desde el CLI.
¿Alguna sugerencia de herramientas o métodos para realizar la tarea?