Existe uma maneira de determinar qual serviço (no svchost.exe) faz uma conexão de saída?

Estou refazendo minha configuração de firewall com políticas mais restritivas e gostaria de determinar a proveniência (e / ou destino) de algumas conexões de saída.

Eu tenho um problema porque eles vêm do svchost.exe e vão para provedores de entrega de conteúdo / aplicativos da web - ou similares:

5 IP in range: 82.96.58.0 - 82.96.58.255      --> Akamai Technologies         akamaitechnologies.com
3 IP in range: 93.150.110.0 - 93.158.111.255  --> Akamai Technologies         akamaitechnologies.com
2 IP in range: 87.248.194.0 - 87.248.223.255  --> LLNW Europe 2               llnw.net
205.234.175.175                               --> CacheNetworks, Inc.         cachefly.net
188.121.36.239                                --> Go Daddy Netherlands B.V.   secureserver.net

Portanto, é possível saber qual serviço faz uma conexão específica? Ou qual é a sua recomendação sobre as regras aplicadas a essas?

(Comodo Firewall e Windows 7)

Atualizar:

netstat -anoe tasklist /svcme ajude um pouco, mas eles são muitos serviços em um svchost.exe, por isso ainda é um problema. além disso, os nomes de serviço retornados por "tasklist / svc" não são de fácil leitura.

(Todas as conexões são HTTP (porta 80), mas não acho relevante)

Encontrei um método nesta resposta de falha do servidor (sobre serviços e uso de memória) que eu poderia usar para analisar individualmente o uso de serviços de rede (com qualquer ferramenta de rede)

Divida cada serviço para executar em seu próprio processo SVCHOST.EXE e o serviço que consome os ciclos da CPU será facilmente visível no Gerenciador de Tarefas ou no Process Explorer (o espaço após "=" é necessário):

SC Config Servicename Type= own

Faça isso em uma janela de linha de comando ou em um script BAT. São necessários privilégios administrativos e é necessário reiniciar o computador antes que ele entre em vigor.

O estado original pode ser restaurado por:

SC Config Servicename Type= share

O SysInternals Process Explorer pode fazer isso por você.

Abra as propriedades do processo da svchost.exeinstância que você está tentando analisar. Clique na guia TCP / IP . Clique duas vezes na conexão que você deseja descobrir para exibir um rastreamento de pilha da conexão. Você poderá rastrear a pilha de volta para a DLL que implementa o serviço. Aqui está um trecho do arquivo de ajuda sobre o tópico Process Properites :

TCP / IP:

Quaisquer terminais ativos de TCP e UDP pertencentes ao processo são mostrados nesta página.

No Windows XP SP2 e superior, esta página inclui um botão Pilha que abre uma caixa de diálogo que mostra a pilha do encadeamento que abriu o terminal selecionado no momento da abertura. Isso é útil para identificar a finalidade dos terminais no processo do sistema e nos processos Svchost, porque a pilha incluirá o nome do driver ou serviço responsável pelo terminal

Também em Configurando símbolos

Configurar símbolos: no Windows NT e superior, se você quiser que o Process Explorer resolva endereços para endereços de início de thread na guia threads da caixa de diálogo de propriedades do processo e na janela da pilha de threads, configure os símbolos baixando primeiro o pacote Debugging Tools for Windows da Web da Microsoft site e instalá-lo em seu diretório padrão. Abra a caixa de diálogo Configurar símbolos e especifique o caminho para o dbghelp.dll que está no diretório Debugging Tools e faça com que o mecanismo de símbolos faça o download de símbolos sob demanda da Microsoft para um diretório em seu disco, inserindo uma cadeia de servidores de símbolos para o caminho do símbolo. Por exemplo, para fazer o download de símbolos para o diretório c: \ symbols, insira esta sequência:

srv c: \ symbols http://msdl.microsoft.com/download/symbols

Nota: Pode ser necessário executar o Process Explorer como administrador para poder ver a pilha do encadeamento.

Eu sei que isso pode estar desatualizado, mas ainda assim, esta página está em alta na pesquisa por "conexões svchost", então eu lançarei minha opinião aqui. Existe uma ferramenta chamada Svchost Process Analyzer, que pode ajudar: http://www.neuber.com/free/svchost-analyzer/index.html

Tente usar tasklist /svce netstatou netstat -anna linha de comando.

Isso mostrará os programas que estão usando svchost.exe e as portas. Usando os números de porta, você poderá procurar o protocolo que normalmente usa o número. Consulte Lista de números de porta TCP e UDP .

O TCPView é uma ferramenta gráfica que mostra o serviço, o PID e a conexão TCP (local e remota):

Use o gerenciador de tarefas para visualizar as colunas do PID de cada processo na lista de processos. Em seguida, execute netstat -anopara visualizar as conexões ativas e o PID associado (= identificação do processo).

O utilitário NirSoft CurrPorts faz tudo o que você deseja, incluindo filtrar e fornecer a lista de serviços de um processo.

De fato, o único problema é como escolher entre o enorme número de colunas de informações que ele pode exibir potencialmente.

Como mencionado, encontrar o PID svchost de determinado processo svchost e / ou usar 3o partido apps como: Currports,ProcessExplorer irá ajudá-lo a identificar os serviços no âmbito do processo dada (svchost.exe ou qualquer outra coisa). Além disso, o Svchost Viewer ou o Svchost Analyzer também mostrarão estritamente as informações do svchost.

Eu também queria acrescentar: As versões mais recentes do Gerenciador de Tarefas do Windows, pelo menos, mostrarão algumas informações limitadas sobre os serviços em execução no svchost (não é necessário instalar nada):

Primeiro, escolha o processo svchost em Processos.
Clique com o botão direito do mouse no processo svchost e selecione "Ir para o (s) Serviço (s)".
Ele irá diretamente para a guia serviços e destacará os serviços prestados em execução no processo svchost.

Outro método:
Usando o prompt do administrador CMD:
tasklist /svc /fi "IMAGENAME eq svchost.exe" > svchost_services.txt
notepad svchost_services.txt
Esta também é uma maneira rápida de obter o PID do svchost / service em questão.