Czy istnieje sposób na określenie, która usługa (w svchost.exe) wykonuje połączenie wychodzące?

Powtarzam konfigurację zapory sieciowej z bardziej restrykcyjnymi zasadami i chciałbym określić pochodzenie (i / lub miejsce docelowe) niektórych połączeń wychodzących.

Mam problem, ponieważ pochodzą z svchost.exe i przechodzą do dostawców treści internetowych / dostarczania aplikacji - lub podobnych:

5 IP in range: 82.96.58.0 - 82.96.58.255      --> Akamai Technologies         akamaitechnologies.com
3 IP in range: 93.150.110.0 - 93.158.111.255  --> Akamai Technologies         akamaitechnologies.com
2 IP in range: 87.248.194.0 - 87.248.223.255  --> LLNW Europe 2               llnw.net
205.234.175.175                               --> CacheNetworks, Inc.         cachefly.net
188.121.36.239                                --> Go Daddy Netherlands B.V.   secureserver.net

Czy więc można dowiedzieć się, która usługa wykonuje określone połączenie? Lub jaka jest twoja rekomendacja odnośnie zasad stosowanych do tych?

(Comodo Firewall i Windows 7)

Aktualizacja:

netstat -ano & amp; tasklist /svc pomóż mi trochę, ale jest wiele usług w jednym svchost.exe, więc to nadal problem. ponadto nazwy usług zwracane przez „tasklist / svc” nie są łatwe do odczytania.

(Wszystkie połączenia są HTTP (port 80), ale nie sądzę, aby były istotne)

Znalazłem w tym metodę Odpowiedź na błąd serwera (o usługach i wykorzystaniu pamięci), które mogę wykorzystać do indywidualnej analizy korzystania z usług przez sieć (za pomocą dowolnego narzędzia sieciowego)

Podziel każdą usługę na własną   Proces SVCHOST.EXE i usługa   zużycie cykli procesora będzie   łatwo widoczne w Menedżerze zadań lub   Process Explorer (spacja po „=”   jest wymagane):

SC Config Servicename Type= own

Zrób to w oknie wiersza poleceń lub   umieść go w skrypcie BAT.   Wymagane są uprawnienia administracyjne   a ponowne uruchomienie komputera to   wymagane, zanim zacznie obowiązywać.

Pierwotny stan można przywrócić:

SC Config Servicename Type= share

SysInternals Process Explorer może to zrobić dla ciebie.

Otwórz właściwości procesu svchost.exe instancja, którą próbujesz przeanalizować. Kliknij na TCP / IP patka. Kliknij dwukrotnie połączenie, które chcesz odkryć, aby wyświetlić ślad połączenia. Powinieneś być w stanie śledzić stos z powrotem do biblioteki DLL, która implementuje usługę. Oto fragment pliku pomocy na temat Właściwości procesu :

TCP / IP:

Wszelkie aktywne punkty końcowe TCP i UDP   przez proces są pokazane na tej stronie.

W systemie Windows XP SP2 i nowszych ta strona   zawiera przycisk Stack, który otwiera a   okno dialogowe, które pokazuje stos   wątek, który otworzył wybrany   punkt końcowy w czasie otwarcia. To   jest przydatny do identyfikacji celu   punktów końcowych w procesie System i   Procesy Svchost ponieważ stos   będzie zawierać nazwę kierowcy lub   usługa, która jest odpowiedzialna za   punkt końcowy

Również na Konfigurowanie symboli

Konfiguruj symbole: w systemie Windows NT i   wyżej, jeśli chcesz Process Explorer   do rozwiązywania adresów dla rozpoczęcia wątku   adresy na karcie wątków   okno dialogowe właściwości procesu i   okno stosu wątków, a następnie skonfiguruj   symbole, najpierw pobierając   Narzędzia do debugowania dla pakietu Windows   ze strony internetowej Microsoft i   instalowanie go w domyślnym ustawieniu   informator. Otwórz Konfiguruj symbole   okno dialogowe i określ ścieżkę do   dbghelp.dll, który jest w debugowaniu   Katalog Tools i symbol   symbole pobierania silnika na żądanie   Microsoft do katalogu na dysku   wpisując łańcuch serwera symboli dla   ścieżka symbolu. Na przykład mieć   symbole do pobrania na symbole c:   katalog, w który wpisujesz ten ciąg:

srv c: symbole http://msdl.microsoft.com/download/symbols

Uwaga: Być może będziesz musiał uruchomić Process Explorer jako administrator, aby móc zobaczyć stos wątku.

Wiem, że to może być przestarzałe, ale wciąż ta strona zajmuje wysokie miejsce w poszukiwaniu „połączeń svchost”, więc podrzucę tutaj moje dane. Istnieje narzędzie o nazwie Svchost Process Analyzer, które może pomóc: http://www.neuber.com/free/svchost-analyzer/index.html

Spróbuj użyć tasklist /svc i netstat lub netstat -an z linii poleceń.

Spowoduje to wyświetlenie programów używających svchost.exe i używanych portów. Używając numerów portów, możesz być w stanie wyszukać protokół, który zwykle używa numeru. Widzieć Lista numerów portów TCP i UDP .

TCPView to narzędzie graficzne, które pokaże Ci usługę, PID i połączenie TCP (zarówno lokalne, jak i zdalne):

Użyj menedżera zadań, aby wyświetlić kolumny PID dla każdego procesu na liście procesów. Następnie uruchomić netstat -ano aby wyświetlić aktywne połączenia i skojarzony PID (= identyfikator procesu).

Narzędzie NirSoft CurrPorts robi wszystko, co chcesz, w tym filtrowanie i podawanie listy usług procesu.

W rzeczywistości jedynym problemem jest to, jak wybrać spośród ogromnej liczby kolumn informacji, które może wyświetlić.

Jak wspomniano, znajdź svchost PID danego procesu svchost i / lub użyj aplikacji innych firm, takich jak: Currports, ProcessExplorer pomoże zidentyfikować usługi w ramach danego procesu (svchost.exe lub cokolwiek innego). Również, Przeglądarka Svchost lub Analizator Svchost pokaże ci również informacje o svchost.

Chciałem też dodać: Nowsze wersje wbudowanego Menedżera zadań Windows przynajmniej pokażą ci ograniczone informacje o usługach uruchomionych w svchost (nie ma potrzeby instalowania niczego):

Najpierw wybierz proces svchost w obszarze Procesy.
Kliknij prawym przyciskiem myszy   proces svchost i wybierz „Przejdź do usługi”
Przejdzie bezpośrednio do   kartę usług i podświetl podane usługi uruchomione w ramach tego svchost   proces.

Inna metoda:
Korzystanie z monitu administratora CMD:
tasklist /svc /fi "IMAGENAME eq svchost.exe" > svchost_services.txt
notepad svchost_services.txt
Jest to również szybki sposób na uzyskanie PID danego svchost / danej usługi.