无论是使用某种远程的代理服务器还是通过使用本地的服务或应用程序,记录网络活动状况的工具存在很多种。微软公司开发了自己的用于记录网络活动状况的工具软件:Port Reporter。它可以像系统服务一样安装,并且记录一台计算机上所发生的一切TCP和UDP活动,无论这台计算机是服务器还是工作站,也不在乎这台计算机中运行的操作系统是Windows Server 2003还是Windows XP或者Windows 2000。
Port Reporter不仅仅能够记录哪一个端口被打开以及是为哪一个远程主机打开,它还能够记录端口打开的进程以及这个进程是否属于系统服务。此外,这个应用程序还能够报告这个进程所使用的是哪一个模块,以及载入这个模块的是哪一个用户帐户。Port Reporter可以非常有效地分析指定计算机上的网络流量,在发现有害软件方面也同样有效,例如,它可以发现名为“phoning home(打电话回家)”的间谍软件包(举例来说,这个间谍软件包可以联系远程主机,并把键盘敲击信息或访问过的站点等私人信息发送出去)。
一旦安装了这个软件,你需要在“服务”菜单中通过人工操作来启动Port Reporter,“服务”菜单位于“控制面板”中的“管理工具”菜单下。该软件的默认值并没有被设置成自动运行,但是如果用户有这个愿望的话可以将其设置成自动运行。这种设置是有意设计的,因为用户可能不会总是希望这个软件在每一次启动的时候都持续记录网络活动状况。
该程序的日志被写入到一个.CSV格式的纯文本文件中,这个纯文本文件位于“%systemroot%\System32\LogFiles\PortReporter”目录下。该程序会产生三个日志:PR-INITIAL、PR-PORTS和PR-PIDS,这三个日志的名称中被附加了时间或日期的标记字符串,以便说明日志是何时开始的。(这就是为什么连续的日志部分却不被写入同一个文件中的原因。)PR-INITIAL日志中包含了服务第一次启动时从计算机中所搜集的信息,包括所运行的进程、每个进程的端口映射以及所载入的模块等信息。PR-PORTS是一个运行的日志,包括打开端口的所有进程,以及这些端口所指向的远程主机,还包括用户环境、使用的协议等信息。PR-PIDS中记录的是用来打开端口的进程ID的中断,包括它们各自的用户环境信息以及其它一些中重要的信息。
这个应用软件存在一些限制。与Windows XP或Windows 2003相比较而言,在Windows 2000中,端口到进程的映射并不被支持,所以一些日志的信息可能不会很详细。
