win7随附网络嗅探器pktmgr工具

  微软发布在win7 64位系统的工具(包显示器),允许管理员监视和记录网络流量。这只是现在才变得更广为人知,或许是因为该功能是几天前为内部人员描述的。

  根据Bleeping Computer的说法,自win 2018年10月10日升级(版本1809)以来,微软已经集成了该工具。所以我看了一下这是如何回事。可以在win子文件夹中找到程序pktmon.exe和其他协助文件:

  C:\ win \ system32 \

  在win中,该工具还可以注册一个驱动程序文件pktmon.s ys。

  自win7 64位系统 october 2018 update(Version 1809)起,该工具是否已真正集成,由于缺少安装,我无法进行临时检查。但是在win7 64位系统版本1903中,该工具在install.wim中可用。

  数据包监视器作为控制台程序

  该pktmon.exe程序是一个命令行应用程序,它可以由管理员调用(包监视器没有处于正常的用户权限提示打开的命令中找到)。如果在管理命令提示符处运行pktmon命令,它将显示以下协助信息。

  该命令报告为“内部数据包转发和数据包丢失监视报告”,并用于网络诊断。协助页面列出了该程序的或许命令。

  Bleeping Computer写道,Microsoft尚未描述该工具,他们没有找到任何东西。但是在2020年5月13日,星期三,Microsoft发表了Techcommunity文章,win insiders现在可以通过HTTps尝试dns。本文中全面描述了命令行实用程序pktmon.exe,用于尝试win insider内部版本19628和更高版本中的doH功能。以下命令重置packetMon已安装的所有网络流量过滤器。

  pktmon filter remove

  以下命令为端口53添加了网络流量过滤器。在当前示例中,这是用于经典dns的端口(使用基于HTTps的dns时,该端口不再进行任何传输)。

  pktmon filter add -p 53

  可以使用以下命令在命令提示符处检索已注册过滤器的列表。

  pktmon filter list

  下图显示了用于注册过滤器和现有过滤器的命令的输出。

  要开始实时记录数据流量(在计算机的所有网络适配器上),请执行以下命令:

  pktmon start --etw -m real-time

  来自端口53的所有网络数据包都在命令行上输出。你还可以使用以下命令:

  pktmon start --etw

  将数据记录保存到文件pktMon.etl中。该文件在以下位置创建:

  C:\ win \ system32 \

  默认处境下,仅保存数据包的前128个字节。该命令为etl文件保留512 MB的内存,并在必要时覆盖最旧的值。

  Bleeping Computer 写道,你可以使用参数-p 0(捕获整个数据包)和-c 13(仅从id 13的适配器捕获)捕获网络数据包,尤其是从网络适配器捕获数据包。可以使用以下命令列出现有网络适配器的id。

  pktmon comp list

  要停止记录网络数据包,请在命令提示符下键入以下命令。

  pktmon stop

  可以将存储在C:\ win \ system32 \下的pktMon.etl文件中的记录导入win事件查看器中,然后进行查看。或者,可以使用以下命令将.etl文件转换为文本文件。

  pktmon format pktMon.etl –o c:\test.txt

  然后可以在文本编辑器中加载和评估此文本文件。以下是此类协议的摘录(紧凑形式)。

  Bleeping Computer 建议安装Microsoft网络监视器, 并使用它显示.etl文件。

  在win7 64位系统 May 2020升级(2004版)中,Microsoft扩展了pktmon工具的功能。然后,pktmon可以实时显示受监视的数据包,并将ETL文件转换为pCApnG格式。可以在Bleeping Computer中找到众多全面信息。

  目前,我不确定整个事情到底有多有用。如果要监视网络流量,可以使用wireshark。你可以在此页面上下载适用于win和macos的软件。