TcpViewを使ってみた

最近、詳解インシデントレスポンスを読んでます。不審な接続に注意を払えと
本書に書いてあったのでWindowsでnetstatをわかりやすく表示してくれるツールを探していました。
googleさんに聞いてみるとTcpViewと呼ばれるツールがわかりやすそうだったので使ってみました。

以下のリンクからダウンロードできます。 docs.microsoft.com

RemoteAddressやRemort Portはもちろん、Process NameやProcess IDも同時に見れて表示にわかりやすいです。
header部分にはtcpやudpなどプロトコルで簡単にフィルターができるようになっています。

通信をダブルクリックするとその通信を実行しているアプリケーションは何か表示してくれます。

通信を右クリック→whoisを選択すると通信しているドメインのwhoisを引いてくれるようです。

Ctrl+sで現在表示している通信をcsv形式で保存もできるようです。

cmdからnetstatコマンドで通信一覧を表示するより、かなりわかりやすいのではないでしょうか。
こういったツールを積極的に使っていきたいです。