क्या यह निर्धारित करने का एक तरीका है कि किस सेवा में (svchost.exe में) एक आउटगोइंग कनेक्शन है?

मैं अपने फ़ायरवॉल कॉन्फ़िगरेशन को और अधिक प्रतिबंधक नीतियों के साथ पुनः लोड कर रहा हूं और मैं कुछ निवर्तमान कनेक्शनों के सिद्धिकरण (और / या गंतव्य) का निर्धारण करना चाहूंगा।

मेरे पास एक मुद्दा है क्योंकि वे svchost.exe से आते हैं और वेब सामग्री / एप्लिकेशन वितरण प्रदाताओं - या समान पर जाते हैं:

5 IP in range: 82.96.58.0 - 82.96.58.255      --> Akamai Technologies         akamaitechnologies.com
3 IP in range: 93.150.110.0 - 93.158.111.255  --> Akamai Technologies         akamaitechnologies.com
2 IP in range: 87.248.194.0 - 87.248.223.255  --> LLNW Europe 2               llnw.net
205.234.175.175                               --> CacheNetworks, Inc.         cachefly.net
188.121.36.239                                --> Go Daddy Netherlands B.V.   secureserver.net

तो क्या यह जानना संभव है कि कौन सी सेवा किसी विशेष कनेक्शन को बनाती है? या इन लोगों पर लागू नियमों के बारे में आपकी सिफारिश क्या है?

(कोमोडो फ़ायरवॉल और विंडोज wall)

अपडेट करें:

netstat -anoऔर tasklist /svcमुझे थोड़ी मदद करें लेकिन वे एक svchost.exe में कई सेवाएं हैं इसलिए यह अभी भी एक मुद्दा है। इसके अलावा "टास्कलिस्ट / svc" द्वारा लौटाए गए सेवा नाम आसान पठनीय नहीं हैं।

(सभी कनेक्शन HTTP (पोर्ट 80) हैं, लेकिन मुझे नहीं लगता कि यह प्रासंगिक है)

मुझे इस सर्वर फॉल्ट उत्तर (सेवाओं और मेमोरी उपयोग के बारे में) में एक विधि मिली है जिसका उपयोग मैं व्यक्तिगत रूप से सेवाओं के नेटवर्क उपयोग (किसी भी नेटवर्क टूल के साथ) का विश्लेषण करने के लिए कर सकता हूं।

प्रत्येक सेवा को अपने स्वयं के SVCHOST.EXE प्रक्रिया में चलाने के लिए विभाजित करें और सीपीयू चक्रों का उपभोग करने वाली सेवा टास्क मैनेजर या प्रोसेस एक्सप्लोरर ("=" के बाद की जगह आवश्यक है) में आसानी से दिखाई देगी:

SC Config Servicename Type= own

इसे कमांड लाइन विंडो में करें या इसे BAT स्क्रिप्ट में डालें। प्रशासनिक विशेषाधिकार की आवश्यकता होती है और प्रभावी होने से पहले कंप्यूटर को पुनरारंभ करना आवश्यक होता है।

मूल राज्य द्वारा बहाल किया जा सकता है:

SC Config Servicename Type= share

SysInternals Process Explorer आपके लिए यह कर सकता है।

svchost.exeविश्लेषण करने की कोशिश कर रहे उदाहरण की प्रक्रिया गुणों को खोलें । टीसीपी / आईपी टैब पर क्लिक करें । उस कनेक्शन पर डबल क्लिक करें जिसे आप कनेक्शन का स्टैक ट्रेस लाना चाहते हैं। आपको डीएलएल को स्टैक का पता लगाने में सक्षम होना चाहिए जो सेवा को लागू करता है। प्रक्रिया प्रॉपराइट्स के विषय में हेल्प फ़ाइल का एक अंश यहां दिया गया है :

टीसीपी / आईपी:

इस पृष्ठ पर प्रक्रिया के स्वामित्व वाले किसी भी सक्रिय टीसीपी और यूडीपी के समापन बिंदु दिखाए जाते हैं।

Windows XP SP2 पर और इस पृष्ठ पर एक स्टैक बटन शामिल होता है जो एक संवाद खोलता है जो थ्रेड के ढेर को दिखाता है जो खुले के समय चयनित एंडपॉइंट को खोलता है। यह सिस्टम प्रक्रिया और Svchost प्रक्रियाओं में एंडपॉइंट के उद्देश्य की पहचान करने के लिए उपयोगी है क्योंकि स्टैक में ड्राइवर या सेवा का नाम शामिल होगा जो एंडपॉइंट के लिए जिम्मेदार है

साथ ही सिंबॉलिंग कॉन्फिगर करने पर

कॉन्फ़िगर करें सिंबल: विंडोज एनटी और उच्चतर पर, यदि आप चाहते हैं कि प्रोसेस एक्सप्लोरर डायलॉग प्रोसेस प्रॉपर्टीज डायलॉग्स के थ्रेड्स टैब में थ्रेड स्टार्ट एड्रेस के लिए पतों को हल करे और थ्रेड स्टैक विंडो फिर माइक्रोसॉफ्ट के वेब से विंडोज पैकेज के लिए डिबगिंग टूल्स को डाउनलोड करके पहले सिंबल को कॉन्फ़िगर करें। साइट और इसे अपनी डिफ़ॉल्ट निर्देशिका में स्थापित करना। कॉन्फिग सिंबल डायलॉग खोलें और डिबगिंग टूल डायरेक्टरी में dbghelp.dll के लिए पथ निर्दिष्ट करें और सिंबल पाथ के लिए सिंबल सर्वर स्ट्रिंग दर्ज करके अपने डिस्क पर Microsoft से डिमांड पर सिंबल इंजन डिमांड पर सिंबल इंजन डाउनलोड सिंबल डाउनलोड करें। उदाहरण के लिए, प्रतीकों को c: \ प्रतीकों निर्देशिका में डाउनलोड करने के लिए आप इस स्ट्रिंग में प्रवेश करेंगे:

srv c: \ प्रतीकों http://msdl.microsoft.com/download/symbols

नोट: आपको थ्रेड के स्टैक को देखने में सक्षम होने के लिए व्यवस्थापक के रूप में प्रोसेस एक्सप्लोरर को चलाने की आवश्यकता हो सकती है।

मुझे पता है कि यह पुराना हो सकता है, लेकिन फिर भी यह पृष्ठ "svchost कनेक्शन" की खोज में उच्च स्थान पर है, इसलिए मैं यहां अपना इनपुट टॉस कर सकता हूं। Svchost Process विश्लेषक नामक उपकरण है, यह मदद कर सकता है: https://www.neuber.com/free/svchost-analyzer/index.html

TCPView एक ग्राफिक टूल है जो आपको सेवा, PID और TCP कनेक्शन (स्थानीय और दूरस्थ दोनों) दिखाएगा:

कमांड लाइन से उपयोग tasklist /svcऔर netstatया करने का प्रयास करें netstat -an।

यह आपको उन कार्यक्रमों को दिखाएगा जो svchost.exe और बंदरगाहों का उपयोग कर रहे हैं। पोर्ट संख्याओं का उपयोग करके, आप उस प्रोटोकॉल को देखने में सक्षम हो सकते हैं जो आमतौर पर संख्या का उपयोग करता है। टीसीपी और यूडीपी पोर्ट नंबर की सूची देखें ।

प्रक्रिया सूची में प्रत्येक प्रक्रिया के लिए PID कॉलम देखने के लिए कार्य प्रबंधक का उपयोग करें। फिर netstat -anoसक्रिय कनेक्शन और संबंधित पीआईडी ​​(= प्रक्रिया आईडी) देखने के लिए दौड़ें ।

जैसा कि बताया जा दिया svchost प्रक्रिया के svchost पीआईडी खोजने के लिए और / या की तरह 3 पार्टी क्षुधा का उपयोग करें: Currports, ProcessExplorerआपको दिया प्रक्रिया (svchost.exe या कुछ और) के तहत सेवाओं की पहचान में मदद मिलेगी। इसके अलावा, Svchost दर्शक या Svchost विश्लेषक सख्ती से आपको svchost जानकारी भी दिखाएगा।

मैं यह भी जोड़ना चाहता था: बिलियन विंडोज टास्क मैनेजर के नए संस्करण कम से कम आपको svchost के तहत चलने वाली सेवाओं पर कुछ सीमित जानकारी दिखाएंगे (कुछ भी स्थापित करने की आवश्यकता नहीं):

सबसे पहले, प्रक्रियाओं के तहत svchost प्रक्रिया चुनें।
दी गई svchost प्रक्रिया को राइट-क्लिक करें और "Go to Service (s)" पर जाएं,
यह सीधे सेवाओं टैब पर जाएगी और उस svchost प्रक्रिया के तहत चल रही सेवाओं को हाइलाइट करेगी।

एक अन्य विधि:
व्यवस्थापक CMD प्रॉम्प्ट का उपयोग करना:
tasklist /svc /fi "IMAGENAME eq svchost.exe" > svchost_services.txt
notepad svchost_services.txt
यह प्रश्न में दिए गए svchost / सेवा की PID प्राप्त करने का एक त्वरित तरीका भी है।

NirSoft उपयोगिता CurrPorts सब कुछ करता है जो आप चाहते हैं, जिसमें फ़िल्टर करना और किसी प्रक्रिया की सेवाओं की सूची देना शामिल है।

वास्तव में, इसके साथ एकमात्र समस्या यह है कि भारी संख्या में सूचना स्तंभों में से किस तरह इसे चुना जा सकता है।