procmon (монитор процесса) не показывает некоторые события сетевой активности udp / tcp, показанные в netmon

2064
marsh-wiggle

Иногда я наблюдаю разницу между Procmon и Netmon. Procmon не показывает некоторые сетевые события udp / tcp.

Вот пример:

net use * \\ test12345.domain.local \ test

показывает в netmon: enter image description here

показывает в procmon: enter image description here

Почему в procmon отсутствует связь с netbios nameservice (: 137)?

(Я тестировал его на нескольких виртуальных компьютерах под управлением Windows, таких как W2008R2, W7, W2008)

0
Я хотел бы спросить на форуме sysinternals и для большего количества подсказок, есть ответвление Wireshark, которое связывает пакеты с процессом, если netmon не делает. Может случиться так, что сетевой трафик 137 происходит на уровне ядра из доступа уровня локальной системы. Justin Dearing 9 лет назад 0

2 ответа на вопрос

1
Justin Dearing

Shot in the dark. use psexec to run proc Mon as localsystem.

1
Justin Dearing

System is deactivated by the default filter (exclude system events). Delete the filter and these events will show up.

Похожие вопросы