端口报告程序 Parser (PR Parser) 工具的说明

文章翻译 文章翻译
文章编号: 884289 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍了端口报告程序 Parser (PR Parser) 工具的使用情况。本文介绍了与 PR 分析器工具相关的下列主题:
  • 背景信息
  • 若要查看日志的 Microsoft Windows GUI
  • 标识可疑数据或您感兴趣的数据
  • 分析日志和生成数据

简介

本文介绍了端口报告程序 Parser (PR Parser) 工具的使用情况。PR Parser 是一种工具,将分析该端口报告服务生成的日志。PR 分析器工具有许多高级的功能,可以帮助您分析端口报告服务日志文件。您可以使用端口报告工具数包括故障排除和与安全相关的方案的方案中使用 PR 解析器。本文重点介绍如何在与安全相关的情况下,可以使用公关分析器工具。

若要获取 PR 分析器工具,请访问下面的 Microsoft 网站:
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

更多信息

背景信息

易受攻击 Microsoft 基于 Windows 的计算机时攻击者通常使用基于 Windows 的计算机资源的攻击造成更大的损害或攻击其他计算机)。这种攻击通常涉及活动,如启动一个或多个进程或和 / 或 TCP 和 UDP 端口使用。除非攻击者隐藏从基于 Windows 的计算机本身此活动,您可以捕获,并确定此活动。因此,查看这种类型的活动的迹象可以帮助您确定系统是否易受攻击。

端口报告工具是可以作为服务运行 Microsoft Windows Server 2003、 Microsoft Windows XP,或 Microsoft Windows 2000 的计算机上运行的程序。端口报告服务记录 TCP 和 UDP 端口的活动。在基于 Windows Server 2003 的和基于 Windows XP 的计算机上端口报告服务可以记录以下信息:
  • 使用的端口
  • 使用该端口的进程
  • 一个过程是否是一项服务
  • 一个进程加载该模块 (.dll 和.drv,等)
  • 启动进程用户帐户
由该端口报告服务捕获的数据可以帮助您确定计算机是否易受攻击。 相同的数据也是计算机的有用的故障排除、 获得对一台计算机的端口使用的了解和审核的行为。

PR Parser 是一种工具,将分析该端口报告服务生成的日志。端口报告服务有关的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
837243可用性和端口报告工具的说明
PR 分析器工具提供了下列三个基本功能:
  • PR 分析器工具都有一个 Windows 图形用户界面 (GUI),它更便于您查看日志。通过 GUI 中,您可以进行排序和筛选中通过多种方法数据。
  • PR 分析器工具可帮助您识别和筛选您感兴趣的数据。该工具提供以下功能:
    • 标识在计算机运行的进程您感兴趣的
    • 尝试识别使用合法进程的名称的进程的运行时错误的文件夹从计算机上
    • 标识加载在计算机上的该模块,如.dll 和.drv,
    • 有助于确定在 Internet 的协议 (IP 中) 的地址时该时间完全限定的域名 (fqdn) 或您感兴趣的计算机名称与计算机进行通信
    • 标识在计算机上使用的端口
    • 可以帮助您确定何时在计算机上的活动用户帐户
  • PR 解析器工具还提供了一些日志分析数据。此数据可帮助您了解使用情况的一台计算机。此数据包括以下内容:
    • 本地传输控制协议 (TCP) 端口使用的排序的列表
    • 本地进程使用的排序的列表
    • 远程 IP 地址使用的排序的列表
    • 排名的列表中的用户上下文使用情况
    • Svchost.exe 服务枚举
    • 通过在一天的小时的端口使用
    • Microsoft Internet Explorer 由用户的使用情况

若要查看日志的 Windows GUI

工具在运行时,该端口报告工具将创建下列三个日志文件:
  • PR-端口的 timestamp.log
  • PR-PID 的 timestamp.log
  • PR-初始的 timestamp.log
每个日志文件名称使用 24 小时格式为基础创建该文件时的日期和时间。日期和时间戳的格式是 year-month-day-hour-minute-second。例如对于在 8:49:30 上午的 2004 年 1 月 24 创建了以下三个文件:
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log
  • PR-INITIAL-04-01-24-8-49-30.log
如果您打开一个日志文件的 PR 分析器工具,PR 分析器工具的 Windows GUI 提供了以下信息:
  • 主窗体的标题栏提到的当前日志文件文件名打开。
  • 显示该日志文件中第一个和最后一个记录的时间戳。
  • 列出当前显示的记录数。
  • 在主窗体上的一个网格中显示的日志条目。
注意 在主窗体上的网格中,您可能无法看到要处理的详细信息,如果 PR 分析器工具正在从计算机中不支持端口到流程映射相关的列。例如对于 PID模块,和 帐户 是要处理的详细信息相关的列。Windows 2000 不支持到进程的端口映射。因此,基于 Windows 2000 的计算机上,您不能看到这些列。

PR 分析器工具的 Windows GUI 提供了以下功能:
  • 在网格中出现的日志条目详细信息。如果您双击主窗体上在网格中的行或用鼠标右键单击一个行,然后单击 属性,显示日志条目的详细信息。当您检查操作系统支持向进程的端口映射的计算机上的日志文件时,此功能才可用。2004 年九月的只有 Windows Server 2003 和 Windows XP 支持此功能。
  • 您可以对网格中按升序或降序按任何列在主窗体中的数据进行排序。如果您单击某个列标题,该工具将对在网格中的列按升序在主窗体数据进行排序。如果再次单击列标题工具将对数据按降序进行排序。数据进行排序按该列时,列标题中会出现一个箭头。箭头还指示排序顺序。如果要还原到其原始的排序次序的网格单击 编辑 菜单上的 重新设置网格以默认排序
  • 您可以使用下列方法之一来筛选数据在网格中主窗体上:
    • 编辑 菜单上指向 筛选,然后单击 筛选数据。在 筛选器网格数据 对话框出现。您可以选择与筛选器数据,并且所提供的筛选条件。在选择并将应用该条件之后将筛选后的数据将显示在数据网格中。
    • 用鼠标右键单击其值是在主窗体上的网格中该筛选器条件的单元格,指向 筛选,然后再单击相应基于您是否要筛选不包含此值的所有行或具有该值的所有行的筛选。
  • 您可以复制单元格的内容或行中复制的所有单元格的内容。以复制单元格的内容,请用鼠标右键单击一个单元然后单击 复制。若要复制的所有单元格的内容在行中,用鼠标右键单击行标题,然后单击 复制
  • 您可以解决它们的相应名称的 远程 IP 列中出现的远程 IP 地址。PR 分析器工具完成操作后,将在网格中显示的所有 IP 地址以及与其相关联的名称列表。此列表不包含重复项。 您可以使用下列方法之一来解决远程 IP 地址:
    • 工具 菜单上单击 $ 解决所有的远程 ip 来解决所有远程 IP 地址。
    • 用鼠标右键单击一个单元,然后单击 解决远程 IP 地址,然后将所选的 IP 地址解析。
    具体取决于您解析的 IP 地址数此操作可能需要几分钟的时间才能完成。若要避免将查询发送给已回答的网络使用 DNS 缓存在客户端上。

    注意 速度和此操作的成功取决于网络上该名称解析基础结构。速度和成功的此操作还取决于在反向查找记录是否可用于每个 IP 地址。
  • 您可以对其进行端口扫描远程计算机使用 Portqry.exe 命令行实用工具。Portqry.exe 是一个功能强大的命令行连接测试工具,它可以生成有关 TCP 和 UDP 端口的有用信息。

    PR 分析器工具提供了使用 Portqry.exe 实用程序的用户界面。此功能可以帮助您确定远程计算机和 $ 远程计算机提供服务的类型。端口扫描远程计算机,用鼠标右键单击的单元格,然后单击 $ PortQry 远程 IP 地址。有关 Portqry.exe 命令行实用程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    310099Portqry.exe 命令行实用程序的说明
    注意 PR 分析器工具安装时, Portqry.exe 文件到同一文件夹中存储 Prparser.exe 文件进行复制。

标识可疑数据或您感兴趣的数据

使用公共关系解析器工具可以跟踪包括模块、 IP 地址、 端口、 用户和主机名的多个数据点。通过公关解析器工具可以快速确定在 Port Reporter 日志文件任何日志条目是否匹配 PR 分析器工具被配置为任何需要的条件搜索。您可以在公共关系解析器工具的 GUI 中配置这些条件,然后更新该以包括新的条件,您选择的特征。

要查看、 添加,或删除条件,单击 编辑 菜单上的 条件设置

以下是可以识别可疑数据或您感兴趣的数据进行设置 PR 解析器工具中的六个条件。

已知的模块的跟踪

跟踪已知的模块用于标识可执行文件的使用合法的二进制文件的名称以及运行或从错误文件夹中被加载。例如对于流行恶意软件的名称是 Svchost.exe。合法 Svchost.exe %windir%\System32 文件夹中运行。当恶意软件 Svchost.exe 命名为,将被复制到 %windir%文件夹时,很难看到了错误的文件夹从正在运行的此二进制文件。如果在 System32 文件夹以外的文件夹中运行的 Svchost.exe,计算机可能容易受到攻击。PR 分析器工具识别这种类型的问题。

请注意,通常、 从多个位置运行某些模块。您必须检查以确定警告是否是假阳性或是否已找到一些不规则任何 PR Parser 警告。要检查端口报告程序从不同的计算机的日志文件时您可能要重写本地计算机的文件夹设置,因为该计算机可以有不同的文件夹结构。例如对于 %systemroot%和 %windir%会指向不同的计算机上的不同位置。在这种情况下 PR 解析器工具可能会识别多个文件运行了错误的文件夹中,因为公共关系解析器工具可以解决这些变量在本地计算机中使用文件夹结构运行 PR 分析器工具的。若要弥补这种类型的计算机之间的差异,您可以重写此行为,并设置公关解析器工具来解决这些环境变量。若要这样做,请按照下列步骤操作:
  1. 编辑 菜单上单击 条件设置
  2. 已知模块 选项卡上单击 配置
  3. 单击 替代本地系统的目录设置
这允许您重写公共关系解析器工具可以解决环境变量的方法。

模块

PR 解析器工具可以迅速确定是否在端口报告程序日志文件中找到您感兴趣的模块。为您感兴趣的模块的列表中添加模块,请按照下列步骤操作:
  1. 编辑 菜单上单击 条件设置
  2. 单击 模块 选项卡。
  3. 单击 添加
  4. 键入您感兴趣,然后单击 确定 将模块添加到 模块到查找 列表模块的名称。
同样,您可以删除添加到 模块到查找 列表中的模块。

当 PR 分析器工具找到一个模块中您感兴趣的日志文件时, 它将项显示在主窗体上的网格中的红色。例如对于 Netcat.exe 工具是一个工具,管理员可能也可能不希望用户使用其网络上。可将识别端口报告程序日志中,如果 Netcat.exe 工具运行使用其原始名称。

双击选定要查看详细信息的行。一个 端口报告器分析器的日志条目详细信息 对话框打开,并提供了有关进程、 有关使用了这些端口和有关加载的模块详细信息。PR-Parser 还提供了一条警告。在 端口报告器分析器的日志条目详细信息 对话框进程的名称,右键单击 PR 解析器工具将提供用于研究"有趣"的或可疑的进程的选项。

注意 您不能在一台基于 Windows 2000 的计算机上看到日志条目的详细信息。

IP 地址

PR 解析器工具可以标识您所感兴趣端口报告程序日志文件中的 IP 地址。若要在 IP 地址,请按照下列步骤操作:
  1. 编辑 菜单上单击 条件设置
  2. 单击 IP 地址 选项卡。
  3. 单击 添加
  4. 键入您感兴趣,然后单击 确定 以将 IP 地址添加到 IP 地址,然后查找 列表的 IP 地址。
同样,您也可以删除添加到 IP 地址,然后查找 列表中的 IP 地址。

在 IP 地址条件中添加一个 IP 地址并将然后应用该条件之后在主窗体上的网格中显示指定的 IP 地址。

端口

网络管理员使用防火墙日志以确定其网络上运行的程序和程序进行通信时,将使用哪些终结点。PR 解析器工具可以帮助您确定哪些端口正在使用的程序和可以快速确定您所感兴趣的端口。许多病毒、 蠕虫、 恶意的程序和工具所使用的恶意用户使用相同的端口,每次运行它们。PR 解析器工具可以确定任何端口上的条件列表中列出的端口。

若要修改此列表,请按照下列步骤操作:
  1. 编辑 菜单上单击 条件设置
  2. 单击 端口 选项卡。
  3. 单击 添加
  4. 键入在端口和您感兴趣,该协议的名称,然后单击 确定 以将端口信息添加到 要查找的端口 列表。
同样,您可以删除添加到 要查找的端口 列表中的端口。

请注意合法程序可能会使用相同的恶意程序使用的端口。您必须调查 PR 分析器工具生成以确定是否生成该警告,由于不是常规操作的每个警告。

用户帐户

PR 分析器工具可用于标识您所感兴趣端口报告程序日志文件中的用户帐户。 若要在用户帐户,请按照下列步骤操作:
  1. 编辑 菜单上单击 条件设置
  2. 单击 用户帐户 选项卡。
  3. 单击 添加
  4. 键入用户帐户,您有兴趣,然后单击 确定 以将用户帐户添加到 要查找的用户帐户 列表。
同样,您可以删除添加到 要查找的用户帐户 列表中的用户帐户。

在用户帐户条件中添加用户后,在主窗体上的网格中显示指定的用户帐户。

主机名

PR 解析器工具将尝试解析远程主机名到日志中找到的 IP 地址。成功的分辨率取决于许多因素,如正确配置的 TCP/IP 设置、 的 DNS 设置、 操作的名称解析基础结构和 IP 地址到名称的映射。若要减小查询发送到网络的数目,PR 分析器工具具有名称缓存,并还可以使用客户端的名称缓存。若要这些名称,请按照下列步骤操作:
  1. 编辑 菜单上单击 条件设置
  2. 单击 主机名 选项卡。
  3. 单击 添加
  4. 键入主机名您感兴趣,然后单击 确定 以添加到 到 $ 查找主机名称 列表中的主机名。
如果 PR 分析器工具已成功解析为主机名的 IP 地址,该工具将标识与主机名的条件列表上找到的名称相匹配的主机名,然后显示主机名。

应用该条件

如果要指定打开的日志文件条件,您可以使用 应用的条件 选项,在 工具 菜单上。PR 解析器工具将分析日志文件以搜索与条件匹配的条目。如果找到一个匹配项,是 PR 解析器工具将显示的匹配字段。 在网格中主窗体上没有列出如已加载的模块的详细信息。当您查看记录详细信息,这些详细信息才可用。

当 PR 分析器工具发现您感兴趣的模块已加载和使用合法名称的模块已加载了错误的文件夹中时,该工具不会在主窗体网格中显示此信息。这是因为 PR 分析器工具不会显示该字段。 若要标识包含符合该甚至中的一个的条目的详细信息的条件的数据的所有行必须对数据进行筛选。若要执行此操作在 编辑 菜单上指向 筛选,然后单击 显示只具有"有趣"的数据的行。 此功能,可以确定任何日志条目是否与您设置的条件相匹配。结果可能为空的列表包含的数据与在其中包括详细信息,如模块的条件相匹配的所有行。显示仅具有"有趣"的数据的行 选项不可用,直到条件应用于数据。单击在 工具 菜单上的 应用条件 后,显示仅具有"有趣"的数据的行 选项将可用。

分析日志和生成数据

PR 解析器工具还可以生成可用于计算机管理员和网络管理员的日志分析数据。七个数据集是从基于 Windows Server 2003 的或基于 Windows XP 的计算机的日志,端口报告程序生成的。因为端口报告程序工具不执行基于 Windows 2000 的计算机上的端口以过程映射,这些统计信息的一些不能从这些计算机日志中生成。 若要分析该日志,并生成输出,单击在 工具 菜单上的 日志分析数据

以下是七的一套由 PR 分析器工具生成的数据:

本地的 TCP 端口使用

此数据集包括的每个 TCP 端口已记录该端口报告工具的次数。如果要确定哪些端口将打开子网之间,这种类型的数据会很有帮助或者到 Internet。此数据为您提供的端口的每台计算机的使用频率。数据中包含针对每个条目的 总计百分比 值。此值除以的次数将使用每个端口的所有端口都使用的时间总数的计算。

进程使用情况

您可以使用此数据分析的计算机上的进程使用情况。 例如,计算机使用,程序频率它们由记录端口报告工具和最通常使用的程序。 数据中包含的每个条目的 总计百分比 值。计算此值除以的次数会记录每个进程的时间记录的所有进程的总数。此数据不可用的基于 Windows 2000 的计算机。

Svchost.exe 枚举

PR 解析器工具可以标识由 Svchost.exe 进程承载的所有服务。若要确定计算机上运行的程序需要此信息。

远程 IP 地址使用情况

该数据集显示的 IP 地址,并可能会显示主机名计算机具有与被通信。列表被排名,以便您可以看到哪些计算机频繁地进行通信。

您可以用鼠标右键单击栅格,然后选择一个选项,以解析为其对应的主机名的 IP 地址。PR 解析器工具将尝试使用网络和 DNS 设置计算机上运行 PR 分析器工具的解析名称。

用户上下文使用情况

该数据集 Port Reporter 日志文件中显示用户帐户所使用的排序的的列表。使用这可以确定哪些用户帐户已在计算机上使用。此数据不可用的基于 Windows 2000 的计算机。

按小时的端口使用

该数据集提供了在收集端口报告程序日志文件数据的时间内的每小时的端口使用的细目分类。了解计算机的高峰并了解是否在意外的时间使用端口,您可以使用此数据。

注意默认状态下,端口报告器 24 小时内收集的数据。

Iexplore.exe 用法

该数据集枚举访问 Microsoft Internet Explorer 的终结点。此数据是基于用户通过用户细分,以便可以对每个用户的 Internet Explorer 使用进行分析。使用此数据,可以确定哪些站点用户访问或其防火墙计算机用来访问 Internet。

您可以右键单击窗体,以查看相关的信息。可以将列出的每个 IP 地址解析为主机名。因此,可以标识每个站点或防火墙的相应的名称。

您还可以查询此列表中标识的计算机上端口使用 Portqry.exe 实用程序。 将日志分析数据保存到文本文件中,单击在 日志的日志分析数据 对话框中的 保存

属性

文章编号: 884289 - 最后修改: 2006年11月1日 - 修订: 1.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbmt kbreadme kbsectools kbmisctools kbipsec kbhowto kbinfo KB884289 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 884289
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com