Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 7 (http://forum.oszone.net/forumdisplay.php?f=95)
-   -   svchost.exe - как определить какие службы его запускают? (http://forum.oszone.net/showthread.php?t=214618)

zomboy 02-09-2011 07:59 1744510
svchost.exe - как определить какие службы его запускают?
 
Здравствуйте! Вопрос в следующем: svchost.exe постоянно просится в сеть... Как определить, какая служба запускает этот процесс, с целью изоляции ненужных служб от походов в инет.
Просто в диспетчере висит 11 штук svchost.exe, а создавать одно общее правило в файерволе для для него как-то не хотелось бы... Спасибо.

Petya V4sechkin 02-09-2011 08:13 1744516
zomboy, с помощью монитора ресурсов или Process Explorer.

zomboy 02-09-2011 08:26 1744520
Спасибо за ответ. Допустим, я не хочу, чтобы svchost.exe (netsvcs) лез в инет... Как мне определить, что именно этот svchost.exe (netsvcs) лезет в инет, ведь файер выдает сообщение о том, что svchost.exe пытается отправить куда либо запрос, не указывая при этом, netsvcs это или нет... надеюсь я понятно объяснил, а не намудрил... )

Vadikan 02-09-2011 11:45 1744640
Цитата:
Цитата zomboy
я не хочу, чтобы svchost.exe (netsvcs) лез в инет... »
Почему?

rasskazov 15-06-2016 12:49 2642944
У меня похожая ситуация. Процесс svchost пытается соединиться с удалённым сервером по tcp:80. Как можно узнать какая конкретно служба это делает?

IVa_ 15-06-2016 14:58 2642961
Цитата:
Цитата rasskazov
какая конкретно служба это делает? »
разве это службы запускают процесс соединения с по tcp:80 -?
Могу предположить, что не в службе дело !

Nerdy 15-06-2016 16:04 2642980
rasskazov, Process Explorer.

rasskazov 18-06-2016 11:50 2643740
Цитата:
Цитата IVa_
разве это службы запускают процесс соединения с по tcp:80 -?
Могу предположить, что не в службе дело ! »
Я лишь предполагаю. Использую Microsoft Network Monitor 3.4 и одновременно слушаю трафик на шлюзе что ломится на 80 порт (в моей ситуации в обход прокси).
Как только машина попыталась создать соединение с удалённым узлом, я смотрю в Network Monitor от какого процесса эти обращения. Эмпирическим путём был разделён исходящий трафик на валидный и не легитимный. Последний трафик мог быть чем угодно (машина-зомбли для DDoS, вирус кейлогер, шпион, троян и т.д.... суть пока не в этом).
В моей ситуации была вычислена сеть x.y.z.0/19 на которую были обращения процессом svchost.exe и consent.exe. Оба файла на virustotal оказались не заражёнными. С consent.exe ситуация интересная, процесс создаётся, обращается к x.y.z.0/19, монитор фиксирует его PID и процесс уничтожается. С svchost.exe ситуация иная - в какой-то момент идёт обращение к сети x.y.z.0/19, монитором фиксируется его PID и я ничего отследить не могу. Куча сетевых служб запускаются через svchost.exe и мне важно понять какая именно служба генерирует этот трафик.

Цитата:
Цитата Nerdy
rasskazov, Process Explorer. »
Инструмент шикарный. Но он не даёт мне информацию о том, какой процесс взаимодействует по сети.


Время: 18:51.

Время: 18:51.
© OSzone.net 2001-