0

我正在使用procmon来分析程序的行为。
我可以看到该程序正在通过 TCP 在本地与另一个程序进行通信:

在此处输入图像描述

此“Windows 进程监视器”不会记录两个程序之间发送的实际内容。因此,我将使用 Wireshark 并嗅探每个可用的捕获接口(LAN 是我希望看到消息流量的地方)。

不幸的是,Wireshark 没有记录 procmon 声称的任何流量。

我尝试了各种过滤器,我确信我没有忽略 Wireshark 生成的结果。 

(tcp.port == 60882)
(ip == 127.0.0.1)

Wireshark 是否有无法嗅探这些消息的原因?
我可以做些什么来查看 procmon 和 Wireshark 之间的互补结果吗?

4

1 回答 1

2

如果您希望在 Windows 上嗅探环回流量,则存在一些挑战。基本上,WinPcap是 Wireshark 用来在 Windows 上捕获数据包的常用数据包捕获库,它不支持此功能。

Wireshark CaptureSetup/Loopback wiki 页面为您提供了一些选项,最好的两个选项(在我看来)是卸载 WinPcap 并改用npcap,或者简单地使用RawCap进行捕获,然后使用 Wireshark 进行捕获后分析。

您还可以使用 Microsoft 的Network Monitor工具或更新的 Microsoft Message Analyzer。这两个工具都应该能够捕获环回流量。

于 2017-02-11T00:55:17.490 回答