我正在尝试对第三方TCP客户端/服务器Windows XP,SP 3应用程序进行反向工程,但我没有可用的源代码。我的主要攻击行为是使用WireShark捕获TCP流量。将端口映射到瞬态Windows TCP连接的PID
当我在客户端发出某个GUI命令时,客户端会创建一个到服务器的TCP连接,发送一些数据,然后断开连接。服务器端口为1234,而客户端端口由OS分配,因此各不相同。
WireShark显示我发出的GUI命令对应的消息被发送两次。这两条消息具有不同的源端口,但它们具有相同的目标端口(如前所述,为1234)。
客户端实际上包含多个进程,我想确定哪些进程正在发送这些消息。这些过程是长期的,所以他们的PID是稳定的和已知的。但是,所涉及的TCP连接是暂时的,只持续几毫秒左右。尽管我已经在WireShark中捕获了客户端端口号,尽管我知道所有涉及的PID,但连接是暂时的,这使得很难确定哪个PID打开端口。 (如果连接长期存在,我可以使用netstat将端口号映射到PID。)有没有人对我如何确定哪些进程正在创建这些瞬态连接有任何建议?