Windows 服务在主机进程内运行。使用 Windows 8 的资源监视器观察流量,我看到了 生成的流量svchost.exe (netsvcs)
。它似乎是针对由克罗地亚一家大型 ISP 控制的 IP 地址。
地址是213.191.147.215。
生成的流量svchost.exe (NetworkService)
被导向 (非常相似的) 213.191.147.216。使用 Wireshark 嗅探显示,针对 213.191.147.216 的 HTTP 请求包含/msdownload/...
在 URL 中。
获取 /msdownload/update/v3/static/trustedr/en/authrootstl.cab?edc2fcdacea5cc1a HTTP/1.1 连接:保持连接 接受: */* 用户代理:Microsoft-CryptoAPI/6.3 主机:ctldl.windowsupdate.com HTTP/1.1 200 正常 缓存控制:max-age=604800 内容类型:application/octet-stream 最后修改时间:2013 年 10 月 4 日星期五 00:14:07 GMT 接受范围:字节 ETag:“80f18a496c0ce1:0” 服务器:Microsoft-IIS/7.5 X-Powered-By:ASP.NET 内容长度:54009 日期:2013 年 10 月 22 日星期二 12:44:14 GMT 连接:保持连接
这使我得出结论,这两个都是克罗地亚微软 CDN 的成员。
我尝试禁用 Windows 更新服务,但 .215 的下载仍在继续。这很麻烦;夏天的时候,我在 10 分钟内通过 3G 下载了超过 200mb 的数据,然后我才注意到发生了什么。这发生在我向提供商支付 1GB 流量费用几分钟后。我真的不喜欢微软在被明确告知不要在后台下载任何更新后浪费我的钱。
今天我又注意到了这一点。虽然我目前没有通过手机连接,但我很想一劳永逸地找到解决这个问题的方法。
由于我不想随机禁用服务并希望击中产生流量的服务,因此我更愿意确定哪个服务正在产生流量。
如何确定哪个后台服务启动了下载?如何确定哪些后台服务正在生成网络流量?
答案1
我使用 Sysinternals(MS Technet)的 TCPView 在 Windows 中查看实时连接信息。它包括启动流程的过程。
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
如果流量来自 SvcHost 进程,请记下该进程的 PID,然后运行
tasklist /SVC > c:\tasks.txt
在命令提示符下。打开文件并记下共享该 PID 的服务。其中一个是罪魁祸首。您应该能够在 services.msc 中禁用其中的许多服务。
如果流量来自 PID 4(系统进程),您可能无法轻松地进行深入挖掘,但您可能可以使用 Process Explorer 或 SysInternals 识别导致流量的线程,然后从那里识别组成其堆栈的 dll。但是,基于这些信息您能做的事情很少。
祝你好运。
答案2
因为Host: ctldl.windowsupdate.com
我想说这是 Windows 更新服务,它会扫描您的电脑以查找更新。