NETSH TRACE START CAPTURE=YES PERSISTENT=YES ist ja fein, erzeugt aber leider nur ein ETL welches man sich (diskussionswert sinnvoll) nur mit dem nicht mehr supporteten Message Analyzer anschauen kann – mit
https://github.com/microsoft/etl2pcapng
kann man aber eine solche ETL Datei in ein PCAPNG File umwandeln und dann mit Wireshark in gewohnter Manier öffnen.
Besonderheit: Im Paketkommentar wird die PID des Prozesses welcher das Paket gesendet oder empfangen hat hinterlegt (was nicht immer stimmt wegen DPCs aber manchmal doch hilfreich sein kann). Filter mit:
frame.comment == "PID=1234"
Dreist geklaut von: https://4sysops.com/archives/how-to-capture-a-network-trace-from-a-remote-computer/