Wireshark无法通过TCP检测本地进程通信

Question

我正在使用procmon来分析程序的行为。
我可以看到该程序与其他程序在本地TCP通信：

这个“Windows进程监视器”不记录两个程序之间传送的实际内容。因此，我将使用Wireshark并嗅探每个可用的捕获接口（LAN是我希望看到消息通信的地方）。

不幸的是，Wireshark没有记录procmon声称的任何流量。

我已经尝试了各种过滤器，我相信我不会忽略Wireshark生成的结果。

(tcp.port == 60882) 
(ip == 127.0.0.1) 

是否有理由Wireshark将无法嗅探这些消息？
有什么我可以做，看到Procmon和Wireshark之​​间的免费结果？

Answer 1

如果您希望在Windows上嗅探回环流量，那么存在一些挑战。基本上，WinPcap是Wireshark依赖的常用数据包捕获库，它不支持在Windows上捕获数据包。

Wireshark的CaptureSetup/Loopback wiki页面提供了一些选项，供您虽然，最好的两个选项（在我看来）是卸载WinPcap的，并使用npcap来替代，或者简单地使用RawCap的捕获，然后使用Wireshark的捕获后分析。

您也可以使用微软的Network Monitor工具或更新的微软Message Analyzer。这两个工具应该都能够捕获环回流量。