2500335566

Funkcja tasklist

Jak wspomniano wyżej funkcja 'tasklist' może być użyta do zidentyfikowania nazwy programu na podstawie numeru identyfikacyjnego procesu PID. W przykładzie opisanym powyżej pokazano, że port 1346 używany był przez proces o numerze 1668. Aby stwierdzić, jaka jest nazwa tego procesu należy użyć następującej komendy:

tasklist | findstr 1668

W wyniku działania powyższej funkcji wyświetlany został następujący komunikat:

ngctw32.exe 1668 Console    0    5140 KB

Oznacza to, że proces o numerze 1668 jest używany przez program 'ngctw32.exe'. Używając przeglądarki Internetowej można znaleźć opis, do czego służy zidentyfikowany program. W tym przypadku jest to konsola klienta programu Symantec Ghost służącego do wspomagania administrowania komputerami.

Tak więc używając funkcji 'netstat' w połączeniu z funkcją 'tasklist' można, jak to zademonstrowano powyżej, zidentyfikować jaki program używany jest na wybranym komputerze przez dane połączenie sieciowe.

Identyfikacja hosta

Aby dokonać identyfikacji zdalnego komputera na podstawie jego adresu IP można użyć jedno z darmowych narzędzi powszechnie dostępnych w Internecie, na przykład narzędzia o nazwie SmartWhois [3].

W uprzednio omówionym przykładzie nr 2 w Tabeli 1 adres komputera zdalnego miał postać: 212.58.246.108. Wpisując adres ten w narzędziu SmartWhois otrzymuje się wynik przedstawiony na rys 3.

212.58.224.0 - 212.58.255.255

BBC

Kingswood Warren,

Tadworth, KT20 6NP

Brandon Butterworth

British Broadcasting Corporation BBC Centre House 56 Wood Lane

London W12 7SB

England, GB +44 3030409777 +44 2088118815

brandQn@rd.bbę.co.uk

9