背景

在一些网络环境一刀切的企业内网,又想要让某些不得不基于网络的软件应用能够正常使用,于是需要获取该应用运行时访问的服务地址,才可以加入到白名单中。

由于该应用的运行环境为 Windows,以下分析方式,也是基于 Windows 系统。

获取特定进程的 PID

  • 列出当前运行的进程:tasklist
    • 使用 findstr 过滤指定名称:tasklist | findstr "xxxx"

获取进程监听端口

可以使用 netstat 获取进程监听端口:netstat -ano | findstr <PID>

从 IP 获得对应域名

DNS 本身就是完成域名和 IP 的一一对应,所以可以相互映射,使用 nslookup 即可。

最好关掉联网的 APP,例如:IM 类,如 QQ、Wechat 等,避免抓包的时候产生太多数据。

Wireshark

可以通过 ip.src == x.x.x.x 过滤 IP 地址,如果是 HTTP(S) 的协议,一般会有 DNS 的过程,可以直接过滤 DNS 协议:dns