简介

DNSLookupView 是一款适用于 Windows 10 和 Windows 11 的 DNS 跟踪工具，可让您查看通过 Windows 的 DNS 客户端服务发送的每个 DNS 查询的详细信息。每次 DNS 查询都会显示以下信息：主机名、查询类型（A、AAAA 等）、查询状态（错误或成功）、查询结果、查询时间戳、请求 DNS 查询的进程的 ID 和名称。

系统要求

该工具仅适用于 Windows 11、Windows 10 和 Windows 8.1。支持 32 位和 64 位系统。此工具不适用于旧版本的 Windows，因为操作系统不支持 DNS 跟踪。

工作原理

该工具使用 Windows 操作系统的 "Microsoft-Windows-DNS-Client "提供程序（1C95126E-7EEA-49A9-A3FE-A378B03DDB4D）进行事件跟踪。捕获的事件 ID 是 3008，其中包含 Windows DNS 客户端服务处理的每个 DNS 查询的信息。

使用说明

DNSLookupView 不需要任何安装程序或额外的 DLL 文件。要开始使用它，只需运行可执行文件 - DNSLookupView.exe
运行 DNSLookupView 后，会显示主窗口，你可以按下 "Start DNS Tracing（开始 DNS 跟踪）"工具栏按钮（或直接按 F5 键），开始捕获系统上的 DNS 查询。
要停止捕获 DNS 查询时，只需按 F6 键或 "Stop DNS Tracing（停止 DNS 跟踪）"工具栏按钮即可。
您可以选择一个或多个 DNS 查询（或按 Ctrl+A 键选择所有查询），然后使用 "保存选定项目 "选项 (Ctrl+S) 将其导出为逗号分隔/制表符分隔/html/xml/JSON 文件，也可以将选定的 DNS 查询复制到剪贴板 (Ctrl+C) 然后粘贴到 Excel 或其他电子表格应用程序。

命令行选项

上面就是官方基本介绍,下面来看下实际使用效果,首先打开软件后,选择文件-启动DNS跟踪或者单机下面的绿色三角形启动.然后我们在CMD中ping qq.com 即可在软件中看到DNS请求记录,记录信息包括主机名、查询类型、查询状态、查询结果、其他查询结果、进程ID、线程ID、进程名称、进程路径、请求时间等等信息.我们需要关注的就是下图中做了红色标记的几处即可,通过进程 ID及其路径就可以定位到发起DNS查询的文件位置,从而有利于在溯源排查的时候快速定位挖矿木马进程或恶意DNS通信进程路径,快速结束并清除.

双击记录项目结果,还可以单独展示这个查询记录的详细信息:

还可以生成html报告,分享给其他协作者:

目前最新DNSLookupView v1.12版本附带汉化文件: 点击下载 | GitHub项目下载

软件来自: https://www.nirsoft.net/utils/dns_lookup_view.html 感谢作者的辛苦付出.

下期写一下如何在低版本系统如win7 xp上记录DNS请求.