需使用windows 11内置资源监视器查看各进程实时网络吞吐量,通过“网络”选项卡的“发送(b/s)”和“接收(b/s)”列识别高流量进程,并结合tcp连接详情与powershell命令验证通信目标及进程路径。
如果您希望了解当前Windows 11系统中每个应用程序正在使用的网络带宽,以识别高流量进程或排查异常联网行为,则需借助资源监视器这一内置工具。以下是具体操作步骤:
一、通过资源监视器查看各进程实时网络吞吐量
资源监视器可穿透应用层,精确显示每个运行中进程的每秒接收与发送字节数(B/s),并支持按速率排序,是定位“偷跑流量”程序的核心手段。
1、按下Ctrl + Shift + Esc组合键,打开任务管理器。
2、点击顶部的“性能”选项卡,确保界面处于完整视图(若显示“更多详细信息”,请先点击该链接)。
3、在窗口底部,点击“打开资源监视器”链接。
4、在新弹出的资源监视器窗口中,切换至“网络”选项卡。
5、在“网络活动的进程”列表中,查看每行的“发送(B/s)”和“接收(B/s)”列数值,数值持续高于100000 B/s(即约100 KB/s)的进程需重点关注。
6、点击列标题“发送(B/s)”或“接收(B/s)”,可按降序排列,快速定位带宽占用最高的进程。
二、结合TCP连接详情确认进程通信目标
仅看速率不足以判断行为合法性,需进一步验证该进程是否连接可信地址,避免恶意软件伪装成系统服务进行外联。
1、在资源监视器“网络”选项卡中,向下滚动至“TCP连接”区域。
2、勾选左侧“网络活动的进程”列表中目标进程前的复选框,其关联的所有TCP连接将自动在下方高亮显示。
3、观察“远程地址”列中的IP或域名,若出现非常见IP段(如非主流云服务商、境外未备案地址)或可疑域名,应立即终止该进程并查杀。
4、右键点击某条TCP连接,选择“结束连接”,可即时切断该进程的单个网络会话而不影响进程本身运行。
三、使用命令行辅助验证进程网络行为
当资源监视器界面刷新受限或进程短暂活跃时,可通过PowerShell命令捕获瞬时网络连接快照,弥补图形界面延迟。
1、按下Win + X键,选择“Windows Terminal(管理员)”或“PowerShell(管理员)”。
2、输入以下命令并回车:Get-NetTCPConnection | Where-Object State -eq 'Established' | Select-Object LocalAddress, LocalPort, RemoteAddress, RemotePort, State, OwningProcess | Sort-Object OwningProcess。
3、记录输出中“OwningProcess”列的PID值,在任务管理器“详细信息”选项卡中查找对应进程名称。
4、对高风险PID,可在PowerShell中追加命令:Get-Process -Id [PID] | Select-Object ProcessName, Path,确认其可执行文件路径是否位于系统目录(如C:\Windows\System32)或可信安装位置。
