[질문]

netstat 를 해보면 3134라는 처음보는 TCP 포트가 열려 있습니다.
윈도우에서 OPEN된 포트가 어느 프로그램을 참조하는지 알수 있는 방법이 있을까요??

어디서 숨어서 돌고 있는지 찾기가 참 난감합니다..
그럼 답변 부탁드립니다..

[멍멍님의 답변]

netstat의 -o 옵션을 이용하면 해당 포트를 연 프로그램의 PID(프로세스 넘버)를

알 수 있습니다.

ex) netstat -ano

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1004

다음, tasklist 명령을 이용하면 각 PID별 실행 파일 이름을 볼 수 있습니다.

이미지 이름 PID 세션 이름 세션# 메모리 사용
========================= ====== ================ ======== ============
svchost.exe 1004 Console 0 4,196 K

여기서 단점은 해당 실행 파일의 절대 경로 정보는 출력되지 않는다는 것인데,

이는 다른 유용한 툴들을 이용하면 됩니다.

다음은 프로세스 분석에 유용한 툴들입니다.

1. Process Explorer
http://hackerschool.org/~research/bbs/data/pds_prog/ProcessExplorerAmd64.zip

2. TopToBottom
http://hackerschool.org/~research/bbs/data/pds_prog/TopToBottomNTInstall.EXE

3. Security Task Manager
http://hackerschool.org/~research/bbs/data/pds_prog/taskmanager16f.exe

위 세 툴의 기능은 비슷비슷합니다. 개인적으론 가장 가벼운 1번을 추천합니다.