Existe uma maneira de determinar qual serviço (em svchost.exe) faz uma conexão de saída?

Navegue suas respostas
12

Estou refazendo minha configuração de firewall com políticas mais restritivas e gostaria de determinar a proveniência (e / ou destino) de algumas conexões de saída.

Eu tenho um problema porque eles vêm do svchost.exe e acessam provedores de entrega de conteúdo / aplicativo da Web - ou semelhantes: 

5 IP in range: 82.96.58.0 - 82.96.58.255      --> Akamai Technologies         akamaitechnologies.com
3 IP in range: 93.150.110.0 - 93.158.111.255  --> Akamai Technologies         akamaitechnologies.com
2 IP in range: 87.248.194.0 - 87.248.223.255  --> LLNW Europe 2               llnw.net
205.234.175.175                               --> CacheNetworks, Inc.         cachefly.net
188.121.36.239                                --> Go Daddy Netherlands B.V.   secureserver.net

Então, é possível saber qual serviço faz uma conexão específica? Ou qual é a sua recomendação sobre as regras aplicadas a estas?

(Comodo Firewall e Windows 7)

Atualização:

netstat -ano & tasklist /svc me ajuda um pouco, mas eles são muitos serviços em um svchost.exe, então ainda é um problema. além disso, os nomes de serviço retornados por "tasklist / svc" não são fáceis de ler.

(Todas as conexões são HTTP (porta 80), mas não acho relevante)

    
por fluxtendu 19.03.2010 / 22:01

8 respostas

9

Eu encontrei um método neste Resposta de falha do servidor (sobre serviços e uso de memória) que eu poderia usar para analisar individualmente o uso da rede de serviços (com qualquer ferramenta de rede)

Peter Mortensen:

Split each service to run in its own SVCHOST.EXE process and the service consuming the CPU cycles will be easily visible in Task Manager or Process Explorer (the space after "=" is required): 

SC Config Servicename Type= own

Do this in a command line window or put it into a BAT script. Administrative privileges are required and a restart of the computer is required before it takes effect.

The original state can be restored by:

SC Config Servicename Type= share
    
por 23.03.2010 / 05:49
7

O SysInternals Process Explorer pode fazer isso para você.

Abra as propriedades do processo da instância svchost.exe que você está tentando analisar. Clique na guia TCP / IP . Clique duas vezes na conexão que você deseja descobrir para exibir um rastreamento de pilha da conexão. Você deve ser capaz de rastrear a pilha de volta para a DLL que implementa o serviço. Aqui está um trecho do arquivo de ajuda sobre o tema Process Properites :

TCP/IP:

Any active TCP and UDP endpoints owned by the process are shown on this page.

On Windows XP SP2 and higher this page includes a Stack button that opens a dialog that shows the stack of the thread that opened the selected endpoint at the time of the open. This is useful for identifying the purpose of endpoints in the System process and Svchost processes because the stack will include the name of the driver or service that is responsible for the endpoint

Também em Configuração de símbolos

Configure Symbols: on Windows NT and higher, if you want Process Explorer to resolve addresses for thread start addresses in the threads tab of the process properties dialog and the thread stack window then configure symbols by first downloading the Debugging Tools for Windows package from Microsoft's web site and installing it in its default directory. Open the Configure Symbols dialog and specify the path to the dbghelp.dll that's in the Debugging Tools directory and have the symbol engine download symbols on demand from Microsoft to a directory on your disk by entering a symbol server string for the symbol path. For example, to have symbols download to the c:\symbols directory you would enter this string:

srvc:\symbolshttp://msdl.microsoft.com/download/symbols

Nota: Pode ser necessário executar o Process Explorer como administrador para poder ver a pilha do segmento.

    
por 24.03.2010 / 02:20
2

Eu sei que isso pode estar desatualizado, mas ainda assim esta página está em alta em busca de "conexões svchost", então vou colocar minha entrada aqui. Existe uma ferramenta chamada Svchost Process Analyzer, pode ajudar: link

    
por 06.12.2013 / 12:05
2

Tente usar tasklist /svc e netstat ou netstat -an na linha de comando.

Isso mostrará os programas que estão usando o svchost.exe e as portas. Usando os números de porta, você pode procurar o protocolo que geralmente usa o número. Veja Lista de números de porta TCP e UDP .

    
por 19.03.2010 / 22:59
2

TCPView é uma ferramenta gráfica que mostra o serviço, a conexão PID e TCP (local e remoto):

    
por 22.03.2010 / 13:39
1

Use o gerenciador de tarefas para visualizar as colunas PID de cada processo na lista de processos. Em seguida, execute netstat -ano para visualizar as conexões ativas e o PID associado (= id do processo).

    
por 19.03.2010 / 23:04
1

O utilitário NirSoft CurrPorts faz tudo o que você deseja, incluindo a filtragem e a lista de serviços de um processo.

Na verdade, o único problema é escolher entre o enorme número de colunas de informações que ele pode exibir.

    
por 22.03.2010 / 19:00
1

Como mencionado, encontre o svchost PID do processo de svchost e / ou use aplicativos de terceiros como: Currports , ProcessExplorer irá ajudá-lo a identificar os serviços sob determinado processo (svchost.exe ou qualquer outra coisa). Além disso, Svchost Viewer ou Svchost O analisador mostrará estritamente também as informações do svchost.

Eu também queria adicionar: As versões mais recentes do Gerenciador de Tarefas do Windows interno, pelo menos, mostram algumas informações limitadas sobre os serviços em execução no svchost (não é necessário instalar nada):

First, pick the svchost process under Processes.
Right-click given svchost process and pick "Go to Service(s)"
It will go directly to services tab and highlight given services running under that svchost process.

Outro método:
Usando o prompt do CMD do administrador:
tasklist /svc /fi "IMAGENAME eq svchost.exe" > svchost_services.txt
notepad svchost_services.txt
Esta é também uma maneira rápida de obter o PID do serviço svchost / em questão.

    
por 18.09.2016 / 16:50

Tags

Como uso monitores duplos com o VMware Player no Windows e um Ubuntu Guest? Como evitar que o servidor XWin do Cygwin inicie automaticamente o xterm?