将端口映射到 PID 以实现瞬时 Windows TCP 连接

Question

我正在尝试对第三方 TCP 客户端/服务器 Windows XP、SP 3 应用程序进行逆向工程，但我没有可用的源代码。我的主要攻击路线是使用WireShark来捕获TCP流量。

当我在客户端发出某个 GUI 命令时，客户端会创建一个到服务器的 TCP 连接，发送一些数据，然后断开该连接。服务器端口为1234，客户端端口由操作系统分配，因此有所不同。

WireShark 显示与我发出的 GUI 命令相对应的消息被发送了两次。这两个消息具有不同的源端口，但它们具有相同的目标端口（1234，如前所述）。

客户端实际上由多个进程组成，我想确定哪些进程正在发送这些消息。这些进程的寿命很长，因此它们的 PID 是稳定且已知的。然而，所涉及的 TCP 连接是暂时的，仅持续几毫秒左右。虽然我已经在 WireShark 中捕获了客户端端口号，并且知道所有涉及的 PID，但连接是瞬态的这一事实使得很难确定哪个 PID 打开了端口。 （如果连接是长期存在的，我可以使用 netstat 将端口号映射到 PID。）是否有人对我如何确定哪些进程正在创建这些临时连接有任何建议？

Answer 1

我能想到两件事：

1. 尝试 sysinternals 的 tcpview 程序。它给出了系统中所有进程打开的所有 TCP 连接的详细列表。如果一个进程创建了连接，您将能够在 tcpview 中看到它们闪烁（连接和断开连接都会闪烁），您就会知道要开始查看哪些进程。

2. 尝试在调试器下运行二进制文件。 Windbg 支持多进程调试（我认为 Visual Studio 也是如此）。您可能只能使用导出符号，但这仍然适用于对系统 dll 的调用。尝试中断任何您知道进程将调用的可疑 Windows API 来创建连接。 MSDN 应该记录了大多数系统 API 的相关 dll。

从这里开始...如果您再次遇到困难，请发布后续内容。

Answer 2

我最终创建了一个批处理文件，该文件在紧密循环中运行 netstat 并将其输出附加到文本文件中。我在运行系统时运行了这个批处理文件，并通过梳理所有 netstat 转储，我能够找到包含与端口关联的 PID 的转储。