Microsoft Network Monitor是微软公司开发的一款Windows下的网络封包工具,功能类似与著名的封包工具Wireshark。
目前最新版本是3.4,已经8年没有更新了。看介绍上说,支持WinXP SP3到最新的Win10操作系统(Win10是自己测试可用)。
Wireshark很强大,毋庸置疑,但是有个遗憾就是一直都不支持过滤某个进程的网络封包。
之前也找过很多可以过滤某个进程的封包工具,大多都是注入dll去hook系统动态库ws2_32.dll的socket相关函数去实现的。
虽然也能实现功能,但是感觉跟驱动级的封包过滤工具相比,还是有点Low。

Microsoft Network Monitor的启动界面:
左下角蓝色区域,可以限定过滤哪个网络适配器的封包,左上角点击New Capture开始一个新的封包捕获。

开始新的捕获之后,可以点击Capture Settings,进行封包捕获的一些高级过滤配置,限定指定进程的封包也在这里设置。
输入过滤表达式:
Conversation.ProcessName.Contains("chrome.exe")

并点击Apply,可以过滤只显示Chrome浏览器的封包。 保存后点击Start开始捕获封包。

备注: 在Windows Vista以及之上的系统版本,需要管理员身份运行,才能获取到进程名称。

参考链接: Network Monitor Conversation Filtering

标签: none

添加新评论