Es ist eine gefühlte Ewigkeit her, daß ich hier etwas über Windows schreibe (abgesehen von einem Rant vielleicht ;-) Die Entdeckung des Morgens war die Information, daß man mit Windows-Bordmitteln Netzwerk-Traffic mitschneiden kann. Das ganze funktioniert ab Windows 7 bzw. Windows Server 2008.

Der Charme des ganzen ist, daß man keine separate Software für die Aufzeichnung installieren muß, insbesondere bei Produktivsystemen sieht man das nicht gern ;-) Und selbst Wireshark Portable muß den Installer von winpcap ausführen, auch wenn die Installation direkt nach dem Beenden wieder rückgänig gemacht wird.

Der Schlüssel ist der Befehl netsh trace. Mittels netsh trace start capture=yes startet man den Mitschnitt, mit netsh trace stop finalisiert man den Mitschnitt. Es gibt eine Menge Optionen (zyklischer Puffer, Filtern auf bestimmte Kriterien, etc.), diese kann man sich mit netsh trace show capturefilterhelp anzeigen lassen.

Das ganze landet leider nicht in einem Wireshark-lesbaren Format, zum Öffnen benötigt man den Microsoft Message Analyzer. Das Programm macht zwar einen lahmen Eindruck, gibt sich dann aber erstaunlich potent. Wer aber trotzdem lieber auf Wireshark zurückgreifen möchte, kann mit dem Message Analyzer die Daten in eine pcap-Datei exportieren.

Ebenfalls interessant für den Diagnoseeinsatz: Zusammen mit dem Paketdaten wird eine cab-Datei erzeugt, welche eine Vielzahl von Systeminformationen sammelt - so findet man darin beispielsweise Infos über die verwendeten Netzwerktreiber, die exakte Netzwerkkonfiguration und die aktuellen Firewallregeln nebst einer Liste der blockierten/freigeschalteten Anwendungen.