svchost.exe - как определить какие службы его запускают? [Версия для КПК]

Показать полную графическую версию : svchost.exe - как определить какие службы его запускают?

zomboy

02-09-2011, 07:59

Здравствуйте! Вопрос в следующем: svchost.exe постоянно просится в сеть... Как определить, какая служба запускает этот процесс, с целью изоляции ненужных служб от походов в инет.
Просто в диспетчере висит 11 штук svchost.exe, а создавать одно общее правило в файерволе для для него как-то не хотелось бы... Спасибо.

Petya V4sechkin

02-09-2011, 08:13

zomboy, с помощью монитора ресурсов (http://oszone.net/10487) или Process Explorer (http://technet.microsoft.com/ru-ru/sysinternals/bb896653).

zomboy

02-09-2011, 08:26

Спасибо за ответ. Допустим, я не хочу, чтобы svchost.exe (netsvcs) лез в инет... Как мне определить, что именно этот svchost.exe (netsvcs) лезет в инет, ведь файер выдает сообщение о том, что svchost.exe пытается отправить куда либо запрос, не указывая при этом, netsvcs это или нет... надеюсь я понятно объяснил, а не намудрил... )

Vadikan

02-09-2011, 11:45

я не хочу, чтобы svchost.exe (netsvcs) лез в инет... »
Почему?

rasskazov

15-06-2016, 12:49

У меня похожая ситуация. Процесс svchost пытается соединиться с удалённым сервером по tcp:80. Как можно узнать какая конкретно служба это делает?

IVa_

15-06-2016, 14:58

какая конкретно служба это делает? » разве это службы запускают процесс соединения с по tcp:80 -?
Могу предположить, что не в службе дело !

Nerdy

15-06-2016, 16:04

rasskazov, Process Explorer (https://technet.microsoft.com/ru-ru/sysinternals/processexplorer.aspx?f=255&MSPPError=-2147217396).

rasskazov

18-06-2016, 11:50

разве это службы запускают процесс соединения с по tcp:80 -?
Могу предположить, что не в службе дело ! »
Я лишь предполагаю. Использую Microsoft Network Monitor 3.4 и одновременно слушаю трафик на шлюзе что ломится на 80 порт (в моей ситуации в обход прокси).
Как только машина попыталась создать соединение с удалённым узлом, я смотрю в Network Monitor от какого процесса эти обращения. Эмпирическим путём был разделён исходящий трафик на валидный и не легитимный. Последний трафик мог быть чем угодно (машина-зомбли для DDoS, вирус кейлогер, шпион, троян и т.д.... суть пока не в этом).
В моей ситуации была вычислена сеть x.y.z.0/19 на которую были обращения процессом svchost.exe и consent.exe. Оба файла на virustotal оказались не заражёнными. С consent.exe ситуация интересная, процесс создаётся, обращается к x.y.z.0/19, монитор фиксирует его PID и процесс уничтожается. С svchost.exe ситуация иная - в какой-то момент идёт обращение к сети x.y.z.0/19, монитором фиксируется его PID и я ничего отследить не могу. Куча сетевых служб запускаются через svchost.exe и мне важно понять какая именно служба генерирует этот трафик.

rasskazov, Process Explorer. »
Инструмент шикарный. Но он не даёт мне информацию о том, какой процесс взаимодействует по сети.