Trace شبکه بدون WireShark

استاندارد

WireShark رفیق قدیمی و کار راه اندازی برای همه اهل فن و بخصوص کسانی که علاقه مند به سرک کشیدن به پکت ها و آنالیز و برسی ارتباطات خوب و بد نرم افزارها و بد افزارها هستند محسوب میشه😎. کتابخانه جامع اون از امکان Trace ساده اینترفیس ها تا Deep Packet Inspection رو در اختیار کاربرا قرار میده.خیلی اتفاقی فهمیدم ویندوز هم یک ابزار جالب داره که بخصوص برای تریس کردن پکیت ها استفاده میشه و قابلیت های باحال و فوق العاده ای داره.این مکانیزم که ETW یا Event Tracing for Windows نام داره به ما امکان ضبط پکت ها رو میده اونهم با سناریوهای مختلف!

کافیه با دسترسی administrator پاورشل رو اجرا کنید و دستور زیر رو بنویسید:

netsh  trace start capture=yes persistent=yes filemode=append tracefile=path\to\trace.etl

خیلی ساده با استفاده از دستور بالا میاییم و یک سرویس برای ضبط پکت ها اجرا میکنیم.جالبیش اینجاست که با پارامتر persistent حتی بعد از ریست کردن سیستم هم به کار خودش ادامه میده و با پارامتر filemode=append اطلاعات رو کماکان توی مسیر مشخص شده ذخیره میکنه.

برای استاپ کردنش هم از دستور زیر استفاده کنید :

netsh trace stop

برای دیدن سناریوهای مختلف برای تریس کردن کافیه از دستور زیر استفاده بشه :

netsh trace show scenarios

و درنهایت هم اگه خواستید یه برنامه جمع و جور برای شخم زدن فایل trace.etl پیدا کنید برید سراغ Microsoft Network Monitor شایدم دلتون بخواد پکت ها رو توی محیط wireshark آنالیز کنید که این امکانم توی نرم افزاری مثل Microsoft Message Analyzer فراهم شده و کافیه که فایل etl رو داخل نرم افزار ایمپورت کنید.بعد با استفاده از SaveAS خروجی cap. بگیرید و داخل وایرشارک به رستگاری خود ادامه دهید.😇

پ.ن : خفونتهای پنهان و آشکار این تریسر باحال ویندوز برای اهل دل روشنه 😈

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *