微软发布在Win10 64位系统的工具(包显示器)，允许管理员监视和记录网络流量。这只是现在才变得更广为人知，可能是因为该功能是几天前为内部人员描述的。

　　根据Bleeping Computer的说法，自Windows 2018年10月10日更新(版本1809)以来，微软已经集成了该工具。所以我看了一下这是怎么回事。可以在Windows子文件夹中找到程序pktmon.exe和其他帮助文件：

　　C： Windows system32

　　在Windows中，该工具还可以注册一个驱动程序文件pktmon.s ys。

　　自Win10 64位系统 October 2018 Update(Version 1809)起，该工具是否已真正集成，由于缺少安装，我无法进行临时检查。但是在Win10 64位系统版本1903中，该工具在install.wim中可用。

　　数据包监视器作为控制台程序

　　该pktmon.exe程序是一个命令行应用程序，它可以由管理员调用(包监视器没有处于正常的用户权限提示打开的命令中找到)。如果在管理命令提示符处运行pktmon命令，它将显示以下帮助信息。

　　该命令报告为“内部数据包转发和数据包丢失监视报告”，并用于网络诊断。帮助页面列出了该程序的可能命令。

　　Bleeping Computer写道，Microsoft尚未描述该工具，他们没有找到任何东西。但是在2020年5月13日，星期三，Microsoft发表了Techcommunity文章，Windows Insiders现在可以通过HTTPS测试DNS。本文中详细描述了命令行实用程序pktmon.exe，用于测试Windows Insider内部版本19628和更高版本中的DOH功能。以下命令重置PacketMon已安装的所有网络流量过滤器。

　　pktmon filter remove

　　以下命令为端口53添加了网络流量过滤器。在当前示例中，这是用于经典DNS的端口(使用基于HTTPS的DNS时，该端口不再进行任何传输)。

　　pktmon filter add -p 53

　　可以使用以下命令在命令提示符处检索已注册过滤器的列表。

　　pktmon filter list

　　下图显示了用于注册过滤器和现有过滤器的命令的输出。

　　要开始实时记录数据流量(在计算机的所有网络适配器上)，请执行以下命令：

　　pktmon start --etw -m real-time

　　来自端口53的所有网络数据包都在命令行上输出。您还可以使用以下命令：

　　pktmon start --etw

　　将数据记录保存到文件PktMon.etl中。该文件在以下位置创建：

　　C： Windows system32

　　默认情况下，仅保存数据包的前128个字节。该命令为etl文件保留512 MB的内存，并在必要时覆盖最旧的值。

　　Bleeping Computer 写道，您可以使用参数-p 0(捕获整个数据包)和-c 13(仅从ID 13的适配器捕获)捕获网络数据包，尤其是从网络适配器捕获数据包。可以使用以下命令列出现有网络适配器的ID。

　　pktmon comp list

　　要停止记录网络数据包，请在命令提示符下键入以下命令。

　　pktmon stop

　　可以将存储在C： Windows system32 下的PktMon.etl文件中的记录导入Windows事件查看器中，然后进行查看。或者，可以使用以下命令将.etl文件转换为文本文件。

　　pktmon format PktMon.etl –o c:test.txt

　　然后可以在文本编辑器中加载和评估此文本文件。以下是此类协议的摘录(紧凑形式)。

　　Bleeping Computer 建议安装Microsoft网络监视器， 并使用它显示.etl文件。

　　在Win10 64位系统 May 2020更新(2004版)中，Microsoft扩展了Pktmon工具的功能。然后，Pktmon可以实时显示受监视的数据包，并将ETL文件转换为PCAPNG格式。可以在Bleeping Computer中找到更多详细信息。

　　目前，我不确定整个事情到底有多有用。如果要监视网络流量，可以使用Wireshark。您可以在此页面上下载适用于Windows和macOS的软件。