Giden bağlantıyı hangi hizmetin (svchost.exe'de) belirlediğinin bir yolu var mı?

Güvenlik duvarı yapılandırmamı daha kısıtlayıcı politikalarla yeniden yapıyorum ve bazı giden bağlantıların provenansını (ve / veya hedefini) belirlemek istiyorum.

Svchost.exe'den geldikleri ve web içeriğine / uygulama dağıtım sağlayıcılarına gittikleri için bir sorunum var - veya benzeri:

5 IP in range: 82.96.58.0 - 82.96.58.255      --> Akamai Technologies         akamaitechnologies.com
3 IP in range: 93.150.110.0 - 93.158.111.255  --> Akamai Technologies         akamaitechnologies.com
2 IP in range: 87.248.194.0 - 87.248.223.255  --> LLNW Europe 2               llnw.net
205.234.175.175                               --> CacheNetworks, Inc.         cachefly.net
188.121.36.239                                --> Go Daddy Netherlands B.V.   secureserver.net

Peki, hangi hizmetin belirli bir bağlantıyı yaptığını bilmek mümkün müdür? Ya da bu kurallara uygulanan kurallar hakkında tavsiyeniz nedir?

(Comodo Güvenlik Duvarı ve Windows 7)

Güncelleme:

netstat -ano& tasklist /svcbana biraz yardım ama hala bir sorun bu yüzden bir svchost.exe birçok hizmet vardır. dahası, "görev listesi / svc" tarafından döndürülen hizmet adlarının okunması kolay değildir.

(Tüm bağlantılar HTTP (bağlantı noktası 80), ancak alakalı olduğunu düşünmüyorum)

Bu Sunucu Hatası yanıtında (hizmetler ve bellek kullanımı hakkında) hizmetlerin ağ kullanımını (herhangi bir ağ aracıyla) ayrı ayrı analiz etmek için kullanabileceğim bir yöntem buldum

Her bir hizmeti kendi SVCHOST.EXE işleminde çalışacak şekilde bölün, CPU döngülerini tüketen hizmet Görev Yöneticisi'nde veya İşlem Gezgini'nde kolayca görünür ("=" karakterinden sonraki boşluk gereklidir):

SC Config Servicename Type= own

Bunu bir komut satırı penceresinde yapın veya bir BAT komut dosyasına yerleştirin. Yönetici ayrıcalıkları gerekir ve yürürlüğe girmeden önce bilgisayarın yeniden başlatılması gerekir.

Orijinal durum şu şekilde geri yüklenebilir:

SC Config Servicename Type= share

SysInternals Process Explorer bunu sizin için yapabilir.

Analiz svchost.exeetmeye çalıştığınız örneğin işlem özelliklerini açın . Tıklayın TCP / IP sekmesine. Bağlantının yığın izini getirmek için keşfetmek istediğiniz bağlantıya çift tıklayın. Yığını, hizmeti uygulayan DLL'e kadar izleyebilmelisiniz. Proses Özellikleri konusundaki yardım dosyasından bir alıntı :

TCP / IP:

İşlemin sahip olduğu tüm etkin TCP ve UDP uç noktaları bu sayfada gösterilir.

Windows XP SP2 ve sonraki sürümlerde bu sayfa, açılış sırasında seçilen bitiş noktasını açan iş parçacığının yığınını gösteren bir iletişim kutusu açan bir Yığın düğmesi içerir. Bu, Sistem işleminde ve Svchost işlemlerinde uç noktaların amacını tanımlamak için yararlıdır, çünkü yığın, uç noktadan sorumlu sürücü veya hizmetin adını içerecektir

Ayrıca Sembolleri Yapılandırma Hakkında

Sembolleri Yapılandır: Windows NT ve üstünde, Process Explorer'ın işlem özellikleri iletişim kutusunun ve iş parçacığı yığını penceresinin iş parçacığı başlangıç ​​adresleri için adresleri çözümlemesini istiyorsanız, önce Microsoft'un web sitesinden Windows için Hata Ayıklama Araçları paketini indirerek sembolleri yapılandırın site ve varsayılan dizinine yükleme. Sembolleri Yapılandır iletişim kutusunu açın ve Hata Ayıklama Araçları dizinindeki dbghelp.dll dosyasının yolunu belirtin ve sembol altyapısı için, sembol yolunu bir sembol sunucusu dizesi girerek Microsoft'tan talep edilen sembolleri diskinizdeki bir dizine indirmesini sağlayın. Örneğin, sembollerin c: \ semboller dizinine indirilmesi için şu dizeyi girersiniz:

srv c: \ sembolleri http://msdl.microsoft.com/download/symbols

Not: İş parçacığının yığınını görebilmek için Process Explorer'ı yönetici olarak çalıştırmanız gerekebilir.

Bu modası geçmiş olabilir biliyorum, ama yine de bu sayfa "svchost bağlantıları" için arama sıralamasında, bu yüzden burada benim girdi atmak. Svchost Process Analyzer adlı bir araç var, yardımcı olabilir: https://www.neuber.com/free/svchost-analyzer/index.html

TCPView size hizmet, PID ve TCP bağlantısını (hem yerel hem de uzak) gösterecek bir grafik aracıdır:

Kullanmayı deneyin tasklist /svcve netstatya netstat -ankomut satırından.

Bu size svchost.exe ve kullanılan bağlantı noktalarını kullanan programları gösterecektir. Bağlantı noktası numaralarını kullanarak, sayıyı yaygın olarak kullanan protokolü arayabilirsiniz. Bkz . TCP ve UDP bağlantı noktası numaralarının listesi .

İşlem listesindeki her işlem için PID sütunlarını görüntülemek üzere görev yöneticisini kullanın. Ardından netstat -anoetkin bağlantıları ve ilişkili PID'yi (= işlem kimliği) görüntülemek için çalıştırın .

Belirtildiği gibi, verilen svchost işleminin svchost PID bulmak ve / veya benzeri 3. parti uygulamaları kullanmak: Currports, ProcessExplorersize verilen süreç (svchost.exe veya başka bir şey) kapsamında hizmet belirlemenize yardımcı olacaktır. Ayrıca, Svchost Viewer veya Svchost Analyzer da size kesinlikle svchost bilgilerini gösterecektir.

Ayrıca eklemek istedim: Yerleşik Windows Görev Yöneticisi'nin daha yeni sürümleri en azından svchost altında çalışan hizmetler hakkında bazı sınırlı bilgileri gösterecektir (hiçbir şey yüklemenize gerek yoktur):

İlk olarak, İşlemler altındaki svchost işlemini seçin.
Verilen svchost işlemini sağ tıklayın ve "Hizmetlere Git" i seçin
Doğrudan hizmetler sekmesine gidecek ve o svchost işlemi altında çalışan belirli hizmetleri vurgulayacaktır.

Başka bir yöntem:
Yönetici CMD istemini kullanma:
tasklist /svc /fi "IMAGENAME eq svchost.exe" > svchost_services.txt
notepad svchost_services.txt
Bu aynı zamanda söz konusu svchost / hizmetinin PID'sini almanın hızlı bir yoludur.

NirSoft yardımcı programı CurrPorts , bir sürecin hizmetlerinin filtrelenmesi ve listesini vermek de dahil olmak üzere istediğiniz her şeyi yapar.

Aslında, bununla ilgili tek sorun, potansiyel olarak gösterebileceği çok sayıda bilgi sütunu arasından nasıl seçim yapılacağıdır.