文章編號: 884289 - 上次校閱: 2006年11月1日 - 版次: 1.2

連接埠 Reporter 剖析器 (公關剖析器) 工具的說明

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您,連接埠 Reporter 剖析器 (公關剖析器) 工具的使用方式。本文將告訴您下列與公關剖析器工具相關的主題:
  • 背景資訊
  • Microsoft Windows GUI,來檢閱記錄檔
  • Identifying 可疑資料或您感興趣的資料
  • 分析記錄檔,並產生資料
回此頁最上方

簡介

本文將告訴您,連接埠 Reporter 剖析器 (公關剖析器) 工具的使用方式。公關剖析器是一種工具,會剖析 Port Reporter 服務產生的記錄。公關剖析器工具有許多進階的功能,可協助您分析 Port Reporter 服務記錄檔。公關剖析器可以使用 [Port Reporter] 工具中包括疑難排解以及安全性相關的案例的案例數。本文的重點在於如何與安全性相關的案例中使用 [公關剖析器 」 工具。

若要取得公關剖析器工具,請造訪下列 Microsoft 網站]:
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe (http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/prparser.exe)
回此頁最上方

其他相關資訊

背景資訊

當 Microsoft Windows 架構的電腦成為易受攻擊時,攻擊者通常使用 Windows 架構的電腦的資源會更大的傷害,或攻擊其他電腦。這類攻擊通常涉及活動,例如啟動一或多個處理序,或使用 TCP 和 UDP 連接埠或兩者。除非攻擊者會隱藏這項活動從本身的 Windows 電腦,可以擷取並識別此活動。因此,尋找這類活動的指示可以協助您判斷系統是否容易遭受攻擊。

Port Reporter 工具是一種程式,可以在正在執行 Microsoft Windows Server 2003,Microsoft Windows XP 或 Microsoft Windows 2000 的電腦上執行成服務。Port Reporter 服務記錄 TCP 和 UDP 連接埠活動。在 Windows Server 2003 基礎和以基礎 Windows XP 電腦上 Port Reporter 服務可以記錄下列資訊:
  • 會使用到的連接埠
  • 使用連接埠的處理程序
  • 一個處理程序是否為一個服務
  • 處理程序會載入該模組 (.dll、.drv,等等)
  • 啟動處理序的使用者帳戶
Port Reporter 服務所擷取的資料,可幫助您判斷電腦是否有弱點。 相同的資料也是供疑難排解、 取得對電腦的連接埠使用方式的瞭解和稽核電腦的行為,非常好用的。

公關剖析器是一種工具,會剖析 Port Reporter 服務產生的記錄。取得更多資訊有關 Port Reporter 服務按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
837243? (http://support.microsoft.com/kb/837243/ ) 可用性和描述 [Port Reporter] 工具
公關剖析器工具提供下列三個基本的功能:
  • 公關剖析器工具有一個 Windows 圖形化使用者介面 (GUI),讓它更容易地檢閱記錄檔。利用 GUI 可以排序並篩選資料數種方法。
  • 公關剖析器工具可以協助您識別和篩選您感興趣的資料。此工具提供下列功能:
    • 識別的處理程序您感興趣的電腦上執行
    • 嘗試從錯誤的資料夾在電腦上執行,使用合法的程序的名稱的處理序時識別
    • 識別模組,例如.dll 和.drv,在電腦上載入的
    • 可協助判斷當網際網路通訊協定 (IP) 位址的時間完整格式的網域名稱 (FQDN) 或您感興趣的電腦名稱與電腦進行通訊
    • 識別使用在電腦的連接埠
    • 有助於判斷何時使用者帳戶是在電腦上作用中
  • 公關剖析器工具會還提供一些記錄檔分析資料。這項資料可協助您瞭解電腦的使用方式。這類資料包括下列:
    • 排名的本機傳輸控制通訊協定 (TCP) 連接埠使用方式清單
    • 排名的本機處理程序使用方式清單
    • 遠端 IP 位址用法的排名的清單
    • 排名的使用者內容使用方式清單
    • Svchost.exe 服務列舉型別
    • 連接埠使用方式一天的小時
    • 依使用者的 Microsoft Internet Explorer 使用量
回此頁最上方

若要檢閱記錄檔的 Windows GUI

此工具執行時,Port Reporter 工具就會建立下列三個記錄檔:
  • 公關-連接埠-timestamp.log
  • 公關-PID-timestamp.log
  • 公關-初始-timestamp.log
每個記錄檔的名稱會使用日期和時間中根據檔案的建立的時間的 24 小時制。日期和時間戳記的格式為 year-month-day-hour-minute-second。比方說下列三個檔案已於 2004 年 1 月 24,建立於 8:49:30 A.M.:
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log
  • PR-INITIAL-04-01-24-8-49-30.log
當您開啟記錄檔案以公關剖析器工具時,Windows GUI 的公關剖析器工具會提供下列資訊:
  • 主表單的標題列提及開啟目前的記錄檔的檔名。
  • 記錄檔中的第一個和最後一個記錄的時間戳記會顯示。
  • 列出目前顯示的記錄數目。
  • 記錄檔項目會顯示在格線在主表單上。
附註 在主表單上格線,您可能不會看到相關處理序詳細資料,如果從並不支援連接埠來處理序對應的電腦執行 「 公關剖析器 」 工具的資料行。例如,PID 」、 「 單元 和 「 帳號 是處理序詳細資料與相關的資料行。Windows 2000 不支援連接埠來處理序對應。因此,在 Windows 2000 電腦上無法看到這些資料行。

Windows GUI 的公關剖析器工具提供下列功能:
  • 記錄檔項目的的詳細資料會顯示在方格中。如果您按兩下主表單上格線中的資料列或在列上按一下滑鼠右鍵,然後再按 [內容,將顯示的記錄檔項目詳細資料。檢查其作業系統支援連接埠來處理序對應的電腦上的記錄檔時,只能使用這項功能。為 2004 年九月的只有 Windows Server 2003 和 Windows XP 支援這項功能。
  • 您可以在主表單以遞增或遞減順序依任何資料行方格中的資料來排序。如果您按一下 [資料行行首以遞增順序依該資料行在主表單上格線中的資料工具排序。如果您再次按一下資料行行首以遞減順序資料工具排序。資料排序由該資料行時,欄標題中會出現箭號。箭號也會指出排序順序。如果您想還原至其原始的排序順序的方格,按一下 [編輯] 功能表上的 [重設預設排序方格]。
  • 您可以使用下列方法之一來篩選主表單上格線中的資料:
    • 在 [編輯] 功能表上指向 [篩選器,然後按一下 [篩選資料。[篩選方格資料] 對話方塊隨即出現。您可以選取資料行作為篩選資料,並提供篩選條件。您選取並套用準則後,已篩選的資料會出現在資料格。
    • 其值是在主表單上格線中篩選的準則的儲存格上按一下滑鼠右鍵,指向 [篩選器,然後再按一下 [適當篩選根據是否要進行篩選不含此值的所有資料列或具有這個值的所有資料列。
  • 在複製儲存格的內容,或複製資料列中的所有儲存格的內容。要複製的儲存格的內容、 一個儲存格上按一下滑鼠右鍵然後按一下 複製。若要複製的所有儲存格的內容一列中,列-標題上按一下滑鼠右鍵,然後按一下 [複製]。
  • 您可以出現在 遠端 IP 資料行,其對應名稱中的遠端 IP 位址來解決。公關剖析器工具完成作業之後,是在方格中顯示的所有 IP 位址和其相關聯的名稱清單。這份清單並不包含重複的項目。 您可以使用下列方法之一來解決遠端 IP 位址:
    • 在 [工具] 功能表上按一下 [解決所有的遠端 IP 解析所有遠端的 IP 位址]。
    • 在儲存格上按一下滑鼠右鍵,然後按一下 [解決遠端 IP 位址],以解析選取了 [IP 位址。
    不同您解決的 IP 位址數目這項作業可以要幾分鐘才能完成。在用戶端 DNS 快取用來避免傳送到網路上已經有已回答的查詢。

    附註 速度和這項作業成功而定的名稱解析基礎結構,在網路上。速度和這項作業成功也取決於是否有可用的每個 IP 位址的反向對應記錄。
  • 您可以連接埠使用 Portqry.exe 命令列公用程式掃描遠端電腦。Portqry.exe 是功能強大的命令列連線能力,測試可以產生 TCP 和 UDP 連接埠相關的有用資訊的工具。

    此公關剖析器工具提供使用者介面,以使用 Portqry.exe 公用程式。這項功能可以幫助您判斷遠端電腦和其服務遠端電腦提供的型別。連接埠掃描遠端電腦,在儲存格上按一下滑鼠右鍵,然後按一下 [PortQry 遠端 IP 位址。如 Portqry.exe 命令列公用程式的其他有關,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    310099? (http://support.microsoft.com/kb/310099/ ) Portqry.exe 命令列公用程式的說明
    附註 當安裝公關剖析器工具 Portqry.exe 檔案會複製到相同的資料夾 Prparser.exe 檔案儲存位置中。
回此頁最上方

用來識別可疑資料或您感興趣的資料

您可以使用公關剖析器工具來追蹤幾個的資料點包括模組、 IP 位址、 連接埠、 使用者及主機名稱。使用公關剖析器工具,您可以快速地判斷 Port Reporter 記錄檔中的任何記錄檔項目是否符合公關剖析器工具設定為任何條件的搜尋。您可以在公關剖析器工具的 GUI 中設定這些準則,然後更新以包含您所選擇的新條件的特性。

要檢視、 新增,或刪除準則,按一下 [編輯] 功能表上的 [準則設定]。

以下是六個能識別出可疑的資料或您感興趣的資料在公關剖析器工具中設定的準則。

已知的模組的追蹤

追蹤已知的模組可讓您識別可執行檔所使用的合法的二進位檔案名稱和所執行,或從錯誤的資料夾會載入。比方說的惡意軟體的常用名稱是 Svchost.exe。合法 Svchost.exe 執行從 %windir%\System32 資料夾。當惡意軟體被命名為 Svchost.exe 並複製到 %windir%資料夾時,很難查看這個二進位檔案執行從錯誤的資料夾。如果執行從 [System32] 資料夾以外的資料夾的 Svchost.exe 電腦可能容易受到攻擊。公關剖析器工具識別這種問題。

請注意,一般而言,從一個以上的位置執行某些模組。您必須檢閱來決定警告是否是假象,或是否不規則的東西已經找到任何公關剖析器警告。當您想要檢查 Port Reporter 記錄檔從不同電腦時,您可能必須覆寫本機電腦的資料夾設定,因為該電腦可能有不同的資料夾結構。比方說 %systemroot%與 %windir%端點至不同的電腦上的不同位置。在這種情況下公關剖析器工具可能會識別多檔案在錯誤的資料夾中執行,因為公關剖析器工具可以解決這些變數使用本機電腦中的資料夾結構公關剖析器工具執行的位置。為了彌補這種電腦之間的差異,您可以覆寫這個行為,並設定公關剖析器工具,以解決這些環境變數。要這麼做,請您執行下列步驟:
  1. 按一下 [編輯] 功能表 準則設定
  2. 已知的模組] 索引標籤上按一下 [設定]。
  3. 按一下 [強制覆寫本機系統的目錄設定
這可讓您覆寫 [公關剖析器] 工具可解決環境變數的方式。

模組

公關剖析器工具可以快速地判斷是否在 Port Reporter 記錄檔中找到您感興趣的模組。如果要將模組加入至您感興趣的模組清單,請依照下列步驟執行:
  1. 按一下 [編輯] 功能表 準則設定
  2. 按一下 [模組] 索引標籤。
  3. 按一下 [新增]。
  4. 輸入您感興趣,然後按一下 [確定] 將模組新增到 要尋找的模組 清單模組的名稱。
同樣地,您可以刪除新增到 要尋找的模組 清單的模組。

當公關剖析器工具您感興趣的記錄檔中找到模組時,它項目顯示在主表單上格線中的紅色。Netcat.exe 工具是一種工具,例如系統管理員可能或可能不希望使用者在他們的網路上使用。它可確認 Port Reporter 記錄中,如果 Netcat.exe 工具執行使用原來的名稱。

選取要查看詳細資料的線上按兩下。一個 連接埠 Reporter 剖析器-記錄檔項目詳細資料] 對話方塊隨即開啟,並提供詳細資料處理程序的相關有關所使用的連接埠以及有關所載入的模組。公關剖析器也會提供警告訊息。連接埠 Reporter 剖析器-記錄檔項目詳細資料] 對話方塊上如果您以滑鼠右鍵按一下處理程序] 名稱公關剖析器工具會提供選項可用於研究有趣 」 或可疑的程序。

附註 您無法在 Windows 2000 架構的電腦上看到記錄檔項目詳細的資料。

IP 位址

公關剖析器工具可以識別您感興趣 Port Reporter 記錄檔中的 IP 位址。若要指定 IP 位址,請依照下列步驟執行:
  1. 按一下 [編輯] 功能表 準則設定
  2. 按一下 [IP 位址] 索引標籤。
  3. 按一下 [新增]。
  4. 輸入 IP 位址,您有興趣,然後按一下 [將 IP 位址新增到 [IP 位址到 [尋找目標] 清單中的 [確定]
同樣地,您也可以刪除會加入 至 [尋找目標的 IP 位址 清單中的 IP 位址。

IP 位址準則中新增 IP 位址,並再將套準則後,指定的 IP 位址會顯示在主表單上方格中。

連接埠

網路系統管理員使用防火牆記錄檔來判斷哪一個程式在其網路上執行,而且程式進行通訊時,就會使用哪些端點。公關剖析器工具可以協助您判斷哪些連接埠正在使用的程式和可以迅速找出您感興趣的連接埠。許多病毒、 蠕蟲、 惡意的程式及惡意使用者所使用的工具使用相同的連接埠,每當它們執行。公關剖析器工具可以識別任何連接埠準則清單中列出的連接埠。

若要修改這個清單,請依照下列步驟執行:
  1. 按一下 [編輯] 功能表 準則設定
  2. 按一下 [連接埠] 索引標籤。
  3. 按一下 [新增]。
  4. 輸入的名稱連接埠和通訊協定,您有興趣,然後按一下 [確定],將連接埠資訊加入至 連接埠] 到 [尋找目標] 清單。
同樣地,您可以刪除會加入 至 [尋找目標的連接埠 清單中的連接埠。

請注意合法的程式可能會使用同一個惡意的程式使用的連接埠。您必須調查公關剖析器工具將會產生以判斷是否因為的不是一般的作業產生 「 警告每個警告。

使用者帳戶

公關剖析器工具可讓您識別您感興趣 Port Reporter 記錄檔中的使用者帳戶。 若要指定使用者帳戶,請依照下列步驟執行:
  1. 按一下 [編輯] 功能表 準則設定
  2. 按一下 [使用者帳戶] 索引標籤。
  3. 按一下 [新增]。
  4. 鍵入使用者帳號您感興趣,然後按一下 [確定] 以將使用者帳戶新增到 要尋找的使用者帳戶 清單。
同樣地,您可以刪除新增到 使用者帳戶] 來尋找 清單的使用者帳戶。

使用者帳戶準則中新增使用者後,指定的使用者帳戶被顯示在主表單上方格中。

主機名稱

公關剖析器工具會嘗試解析成主機名稱記錄中所找到的遠端 IP 位址。成功的解決方式正確地設定的 TCP/IP 設定、 DNS 設定、 操作名稱解析基礎結構和名稱對應的 IP 位址等因素而定。若要減少傳送到網路上的查詢數目,公關剖析器工具會有名稱快取,並也會使用用戶端的名稱快取。若要指定這些名稱,請依照下列步驟執行:
  1. 按一下 [編輯] 功能表 準則設定
  2. 按一下 [主機名稱] 索引標籤。
  3. 按一下 [新增]。
  4. 輸入主機名稱您感興趣,然後按一下 [確定],將主機名稱加入至 [主控件名稱] 以尋找目標] 清單。
如果公關剖析器工具成功解析成主機名稱的 IP 位址,工具會識別與主機名稱準則清單找到的名稱相符的主機名稱,然後顯示 [主機名稱。

套用準則

如果想指定的記錄檔開啟的準則,您可以使用 [工具] 功能表上的 [套用準則] 選項。公關剖析器工具會剖析記錄檔來搜尋符合準則的項目。如果找到相符的項目公關剖析器工具會顯示符合的欄位。 如已載入的模組等詳細資料不會列在主表單上格線。當您檢視記錄詳細資料時,將只適用這些詳細資料。

當公關剖析器工具找到您感興趣的模組已經載入,或使用合法的名稱的模組已從錯誤的資料夾載入時,工具不會顯示此資訊在方格中的主表單。這是因為公關剖析器工具並不會顯示該欄位。 您必須找出包含符合準則條件甚至中的一個項目詳細資料的資料的所有資料列篩選資料。若要執行此動作指向 [編輯] 功能表上的 [篩選器],然後再按一下 [顯示只有有趣 」 資料的資料列。 這項功能可讓您決定任何記錄檔項目是否符合您設定的準則。產生可能是空的清單包含其中的資料必須符合準則包括詳細資料,例如模組的所有資料列。前一個準則套用到資料,則無法使用 顯示只有有趣 」 資料的資料列] 選項。按一下 [工具] 功能表上的 [套用準則 後,顯示只有有趣 」 資料的資料列] 選項都會出現。
回此頁最上方

分析記錄檔,並產生資料

公關剖析器工具也可以產生有用的電腦系統管理員及網路系統管理員的記錄檔分析資料。七個資料集所產生的是從 Port Reporter 記錄檔的 Windows Server 2003 為主或 Windows XP 的電腦。因為 [Port Reporter] 工具不會在 Windows 2000 電腦上執行連接埠來處理序對應,這些統計資料的某些無法從這些電腦從記錄檔產生。 分析記錄檔,並產生輸出,按一下 [工具] 功能表上的 [記錄檔分析資料]。

以下是七組公關剖析器工具所產生的資料:

本機的 TCP 連接埠使用方式

此資料集包括每個 TCP 連接埠已記錄的 [Port Reporter] 工具的次數。當您想要判斷哪些連接埠將會開啟子網路之間,這種資料很有幫助或到網際網路的逾時。這項資料可讓您了解的連接埠在每個電腦所使用的頻率。資料包含 總計百分比 的值,對每個項目。相除的次數會使用每個連接埠的所有連接埠用的時間總數目會計算此值。

處理程序使用量

您可以使用此資料來分析的電腦上的處理程序使用狀況。 電腦所使用的程式例如頻率它們會記錄的 Port Reporter] 工具和一般最常用的程式。 資料包含每個項目的 總計百分比 值。相除的次數就會記錄每個處理程序的所有處理程序會記錄的時間總數目會計算此值。這項資料不適用於 Windows 2000 電腦。

Svchost.exe 列舉型別

公關剖析器工具可以識別 Svchost.exe 處理程序由裝載的所有服務。這項資訊,才能判斷電腦執行的程式。

遠端 IP 位址用法

此資料集顯示 IP 位址,並可能會用來顯示與通訊之電腦的主機名稱。清單被排名,您就可以看到哪些電腦經常進行通訊。

您可以用滑鼠右鍵按一下框格,然後選取一個 IP 位址解析成其對應的主機名稱的選項。公關剖析器工具會嘗試使用網路和 DNS 設定在電腦上執行 「 公關剖析器 」 工具解析名稱。

使用者內容使用狀況

此資料集顯示排名的 Port Reporter 記錄檔中所用的使用者帳戶的清單。您可以決定哪些使用者帳戶用在電腦上使用。這項資料不適用於 Windows 2000 電腦。

依小時的連接埠使用方式

此資料集提供每小時的連接埠使用方式的明細段 Port Reporter 記錄檔資料收集到的時間。瞭解電腦的尖峰時間,並了解在未預期的時間是否使用通訊埠,您可以使用這項資料。

附註預設情況下,Port Reporter 會 24 小時內收集資料。

Iexplore.exe 使用量

此資料集列舉 Microsoft Internet Explorer 瀏覽過的端點。此資料是細分使用者藉由使用者為基礎,讓每個使用者的 Internet Explorer 使用方式可以進行程式碼剖析。此資料可用來判斷哪些網站使用者瀏覽或的防火牆用來存取網際網路的電腦。

您可以按一下滑鼠右鍵表單來查看相關的資訊。會列出每個 IP 位址可以被解析成主機名稱。因此,可識別每個站台或防火牆的相對應的名稱。

您也可以使用 Portqry.exe 公用程式來查詢這個清單中所識別的電腦上的連接埠。 若要儲存記錄檔分析資料至文字檔案,按一下 [記錄檔的記錄檔分析資料] 對話方塊中的 [儲存]。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
回此頁最上方
關鍵字:?
kbmt kbreadme kbsectools kbmisctools kbipsec kbhowto kbinfo KB884289 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:884289? (http://support.microsoft.com/kb/884289/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。