Iva*_*ica 4 networking windows windows-services windows-8
Windows 服务在主机进程中运行。使用 Windows 8 的资源监视器观察流量,我看到由svchost.exe (netsvcs). 它似乎指向由克罗地亚主要 ISP 控制的 IP 地址。
地址是 213.191.147.215。
产生的流量svchost.exe (NetworkService)被导向(非常相似)213.191.147.216。使用 Wireshark 进行嗅探显示,指向 213.191.147.216 的 HTTP 请求包含/msdownload/...在 URL 中。
GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab?edc2fcdacea5cc1a HTTP/1.1 连接:保持活动 接受: */* 用户代理:Microsoft-CryptoAPI/6.3 主机:ctldl.windowsupdate.com HTTP/1.1 200 正常 缓存控制:max-age=604800 内容类型:应用程序/八位字节流 最后修改时间:2013 年 10 月 4 日星期五 00:14:07 GMT 接受范围:字节 ETag: "80f18a496c0ce1:0" 服务器:Microsoft-IIS/7.5 X-Powered-By: ASP.NET 内容长度:54009 日期:2013 年 10 月 22 日,星期二 12:44:14 GMT 连接:保持连接
这使我得出结论,他们都是克罗地亚 Microsoft CDN 的成员。
我曾尝试禁用 Windows 更新服务,但从 .215 下载仍在继续。这很麻烦;在夏天,我在 10 分钟内通过 3G 下载了超过 200MB,然后才注意到发生了什么。这是在我向提供商支付 1gb 流量后仅几分钟。我真的不喜欢微软在被明确告知不要在后台下载任何更新后浪费我的钱。
今天我又注意到了这一点。虽然此时我没有通过手机连接,但我很想一劳永逸地了解该问题的解决方案。
因为我不想随意禁用服务,希望我能命中产生流量的服务,所以我更喜欢确定哪个服务正在创造流量。
如何确定哪个后台服务启动了下载?如何识别哪些后台服务正在产生网络流量?
我使用 Sysinternals (MS Technet) 的 TCPView 在 Windows 中查看实时连接信息。它包括启动流程的过程。
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
如果流量来自 SvcHost 进程,请记下该进程的 PID,然后运行
tasklist /SVC > c:\tasks.txt
在命令提示符中。打开文件并记下共享该 PID 的服务。其中之一就是罪魁祸首。您应该能够在 services.msc 中禁用其中的许多。
如果流量来自 PID 4(系统进程),您可能无法轻松深入挖掘,但您可以通过 Process Explorer 也可以从 SysInternals 中识别导致流量的线程,并从那里确定组成的 dll它的堆栈。然而,根据这些信息,您几乎无能为力。
祝你好运。
| 归档时间: |
|
| 查看次数: |
7246 次 |
| 最近记录: |