单位的网管通知我,说我的电脑在连接访问了某一个特定的IP地址,并且对外发送大量的数据包,在AC设备上监测到了流量异常,于是怀疑我的电脑系统是不是中了什么病毒木马(后来判断出来是挖矿病毒)。这里就涉及到一个问题,通过什么方法可以简单快速地查询到电脑中哪一个程序或者说软件访问了这个IP地址?

  推荐一款极好用的小工具:CurrPorts。打开文末提供的官网下载地址,下载程序和简体中文语言包。将两者分别解压后,将语言包里面的 .ini 文件复制到程序目录里。运行 cports.exe,自动变成了中文版,如下图:

CurrPorts

  在工具列表中就可以显示出当前系统正在访问网络的所有进程。点击“编辑”菜单中的“查找”命令,在弹出的对话框中输入IP地址,就可以马上找到是哪一个进程在访问。

  根据官网的描述,CurrPorts 是一款网络监视软件,它显示本地计算机上所有当前打开的TCP/IP和UDP端口的列表。 对于列表中的每个端口,还将显示有关打开该端口的进程的信息,包括进程名称,进程的完整路径,进程的版本信息(产品名称,文件描述等)。

  此外,CurrPorts允许您关闭不需要的TCP连接,终止打开端口的进程,并将TCP/UDP端口信息保存到HTML文件、XML文件或制表符分隔的文本文件中。你还可以右击复制远程IP地址,然后去网上搜索此IP来自哪里。CurrPorts还会自动用未识别的应用程序拥有的粉红色可疑TCP/UDP端口标记(应用程序没有版本信息和图标)。

  下载地址在此