web-dev-qa-db-ja.com

ネットワークトラフィックを生成するWindowsサービスの特定

Windowsサービスはホストプロセス内で実行されます。 Windows 8のリソースモニターを使用してトラフィックを観察すると、svchost.exe (netsvcs)によって生成されたトラフィックが表示されます。クロアチアの主要ISPによって管理されているIPアドレスに向けられているようです。

アドレスは213.191.147.215です。

svchost.exe (NetworkService)によって生成されたトラフィックは、(非常に類似した)213.191.147.216に向けられます。 Wiresharkでスニッフィングすると、213.191.147.216へのHTTPリクエストのURLに/msdownload/...が含まれていることがわかります。

 GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab?edc2fcdacea5cc1a HTTP/1.1 
接続:Keep-Alive 
承認:*/* 
 User-Agent:Microsoft-CryptoAPI/6.3 
 Host:ctldl.windowsupdate.com 
 
 HTTP/1.1 200 OK 
 Cache-Control:max-age = 604800 
 Content-Type:application/octet-stream 
 Last-Modified:Fri、04 Oct 2013 00:14:07 GMT 
 Accept-Ranges:bytes 
 ETag: "80f18a496c0ce1:0" 
サーバー:Microsoft-IIS/7.5 
 X-Powered-By:ASP.NET 
 Content-Length:54009 
 Date :2013年10月22日火曜日12:44:14 GMT 
接続:keep-alive 

これにより、これらは両方ともクロアチアのMicrosoft CDNのメンバーであると結論付けることができます。

Windows Updateサービスを無効にしようとしましたが、.215からのダウンロードが続行されました。これは面倒です。夏の間、何が起こっているかに気付く前に、10分以内に3Gで200mb以上をダウンロードしました。これは、プロバイダーに1GBのトラフィックを支払ってからわずか数分でした。バックグラウンドでアップデートをダウンロードしないように明示的に指示された後、Microsoftがお金を無駄にするのは本当に好きではありません。

今日、私はこれに再び気づきました。現時点では携帯電話で接続していませんが、この問題の解決策を一度だけ知りたいと思います。

トラフィックを生成するサービスにヒットすることを期待してランダムにサービスを無効にする気はないので、どのサービスがトラフィックを作成しているかを特定することを強くお勧めします。

ダウンロードを開始したバックグラウンドサービスを特定するにはどうすればよいですか?ネットワークトラフィックを生成しているバックグラウンドサービスを特定するにはどうすればよいですか?

3
Ivan Vučica

Windowsでリアルタイムの接続情報を表示するためにSysinternals(MS Technet)のTCPViewを使用しています。これには、フローを開始するプロセスが含まれます。

http://technet.Microsoft.com/en-us/sysinternals/bb897437.aspx

トラフィックがSvcHostプロセスから来ている場合は、プロセスのPIDをメモして、実行します。

tasklist /SVC > c:\tasks.txt

コマンドプロンプトで。ファイルを開き、そのPIDを共有するサービスをメモします。それらの1つは犯人です。 services.mscでそれらの多くを無効にできるはずです。

トラフィックがPID4(システムプロセス)からのものである場合、おそらく簡単に深く掘り下げることはできませんが、SysInternalsからもProcess Explorerを使用してトラフィックを引き起こしているスレッドを特定でき、そこから構成するdllを特定できます。そのスタック。ただし、この情報に基づいてできることはほとんどありません。

幸運を。

4
Frank Thomas

のため Host: ctldl.windowsupdate.comこれはPCをスキャンして更新を確認するWindowsUpdateサービスだと思います。

0
magicandre1981