特定の実行可能ファイル（この場合はマルウェア）のネットワークログ履歴を表示する方法

Windows 10 PCがqorigjsr.exeマルウェアに感染していることを検出しました。あまりコンピューターに精通していない友人のUSBをPCに挿入してからだと思います。すぐに削除しましたが、タスクマネージャーで[アプリの履歴]を確認したところ、7秒間実行されており、ネットワーク使用量が8.9MBだったようです。

だから私の質問は-どのようにこのネットワークの使用状況の詳細を見ることができますか？たとえば、いつ実行されていたのか、その使用量はどれくらいアップロードされていましたか

ところで：あなたたちはこのマルウェアの経験がありますか？あなたは多分それが正確に何をするか知っていますか？

— ドミニク・セラフィン
ソース

そのデータをさかのぼって表示することはできません。マルウェア自体を実際に識別するランダムな名前なので、よく見る必要があります。AVの所有者がそれ以上の情報を報告しなかった場合、virustotalなどのサービスにアップロードする可能性があります。

— セス

@Sethは返信をありがとう-しかし、そのデータをさかのぼって表示するとはどういう意味ですか

— ドミニクセラフィン

そのような情報のデフォルトの記録はなく、プログラムが既に実行されてその処理を行ったため、実際には存在しないデータをさかのぼって表示することはできません。実行できるのは、実際に実行されたマルウェアを識別して（まだそのexeファイルがある場合）、実際に実行された内容を把握することです。さらなる権利を得るため、または何らかの形の損害（ランサムウェアなど）を行うために、ペイロードをダウンロードしようとした可能性があります。

— セス

回答:

過去に発生したネットワーク通信について調べるのは遅すぎますが、将来接続が発生した場合に確実にログに記録するための措置を取ることができます。そして、マルウェアに関する私の経験は、将来起こると教えてくれます。

あなたの問題、すなわち悪意のあるソフトウェアによって行われたネットワーク接続の検出と終了は、まさにパーソナルファイアウォールと呼ばれるコンピューターソフトウェアのジャンルを生み出したものです。

Comodo Internet Security（freemium）、GlassWire（freemium）、ZoneAlarm（freemium）、ESET Internet Security（commercial）などのパーソナルファイアウォールをインストールすると、この特定のマルウェアだけでなく、あらゆるプログラムを表示および制御することができますそれはあなたのコンピューターから外の世界への接続を確立しようとします。ネットワーク接続マルウェアは過去の問題になります。

さて、一部の人々はここに来て、Windows自体でこれらすべてができると言うかもしれません。それは部分的に真実です。これらのサードパーティのアプリがあなたに与えるものは、快適さと前例のない程度の制御です。

いいですが、これは実際には質問に答えません。

— DavidPostill

@DavidPostill質問は、「特定の実行可能ファイルのネットワークログ履歴を表示するにはどうすればよいですか？」です。答えは次のとおりです。「前述のアプリを使用すると、そうすることができます」。

そう？それはまだOPが「遡及データを表示」することはできません

— DavidPostill

それはすべて非常にうまくいきますが、あなたの答えは質問に答えないので、あなたの答えは誰にとっても役に立ちません。

— DavidPostill

なぜあなたはそんなに敵対的ですか？作成者が「ロギングを有効にせずにプロセスが使用していたネットワークの使用状況を確認できますか」と尋ねている場合、この特定の質問に対する答えはもちろん「いいえ、不可能です」。この答えに「答えではない」というフラグを立てることは正しい手順ではありません、とデイビッドは知っています。この答えは、現在の形では、著者の質問に答えないという事実を変えません。

— ラムハウンド

おそらく、キャッシュDNSを表示するこのバッチスクリプトで、より多くの情報を提供できます

@echo off
ipconfig /DisplayDNS > CacheDNS.txt
Start "" CacheDNS.txt

— ハックー
ソース