「作者简介」：CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」：更多干货，请关注专栏《网络安全自学教程》

TCPView是微软提供的一款「查看网络连接」和进程的工具，常用来查看电脑上的TCP/UDP连接。比Windows自带的 netstat 命令更加强大。

1、下载安装

官网下载：
https://learn.microsoft.com/zh-cn/sysinternals/downloads/tcpview

绿色版免安装，解压后双击运行tcpview64.exe。

2、界面字段含义

• Process Name：进程名
• Process ID：进程ID，也就是PID
• Protocol：协议（TCP/UDP）
• State：连接状态
• Local Address：本地地址
• Local Port：本地端口
• Remote Address：（外联）远程地址
• Remote Port：（外联）远程端口
• Create Time：创建时间
• Module Name：模块名

3、常用功能

3.1、刷新时间

单击 Create Time，按照连接「创建时间」倒序，使用时就可以看到最新创建的连接。

新创建的连接是绿色，即将断开的连接是红色。

点工具栏的 View - Update Speed，修改刷新时间，1秒、2秒、5秒、不刷新。

点工具栏的 绿色圆圈图标，可以立即刷新。

3.2、查看进程安装位置

双击进程名或右键 Properties，可以打开进程属性窗口，查看进程的「文件路径」和版本等信息。

3.3、过滤连接状态

点工具栏的旗子图标，可以过滤「连接状态」，选中的会显示，不选中的不显示。

• Listen：服务端处于监听状态，端口放开，等待客户端的连接请求。
• Syn Sent：客户端发送SYN，请求建立连接；发送后等待服务端返回匹配的请求连接。
• Syn Received：服务端收到客户端的SYN，向客户端发送请求同意连接。
• Established：连接建立成功，客户端和服务端开始传输数据。
• Fin Wait 1：等待连接中断的请求，或对先前的连接中断请求进行确认。
• Fin Wait 2：另一边已同意释放。
• Close Wait：等待远程TCP对连接中断的确认
• Closing：等待连接中断的确认。
• Time Wait：等待足够的时间以确保远程TCP接收到连接中断请求的确认
• Closed：连接关闭。
  

3.4、过滤协议类型

点工具栏的TCP/UDP图标，可以过滤「协议类型」，点亮的显示，不亮的不显示。

3.5、结束进程

选中进程，右键 Kill Process，可以结束进程和对应的连接。有些进程需要用管理员身份打开 TCPView 才能杀掉。

3.6、域名解析

点工具栏的 Options - Resolve Address，可以将IP地址解析为域名。

有时候解析会不准确，按需使用。

4、实战案例

4.1、判断外联IP地址是否恶意

以下图为例，将外联地址Remote Address 放到威胁情报平台（这里用https://ti.qianxin.com/），判断是否恶意。

比如下图这个就是安全的。

4.2、判断系统本身的端口连接

1）像这种源local Adress、目的Remote Address都是同一个地址，基本都是回环地址。没有外联行为，相对安全。

2）根据线程的属性确认系统本身打开的端口，选中线程 - 右键 - process properties，Path 标签 可以看到端口对应的程序路径。

• 如果在 C:\WINDOWS\system32系统目录下，说明是系统文件。
• 如果不在系统目录下，并且名字跟系统程序相似，就很可疑。