识别产生网络流量的 Windows 服务

Windows 服务在主机进程内运行。使用 Windows 8 的资源监视器观察流量，我看到了 生成的流量svchost.exe (netsvcs)。它似乎是针对由克罗地亚一家大型 ISP 控制的 IP 地址。

地址是213.191.147.215。

生成的流量svchost.exe (NetworkService)被导向 (非常相似的) 213.191.147.216。使用 Wireshark 嗅探显示，针对 213.191.147.216 的 HTTP 请求包含/msdownload/...在 URL 中。

获取 /msdownload/update/v3/static/trustedr/en/authrootstl.cab?edc2fcdacea5cc1a HTTP/1.1
连接：保持连接
接受： */*
用户代理：Microsoft-CryptoAPI/6.3
主机：ctldl.windowsupdate.com

HTTP/1.1 200 正常
缓存控制：max-age=604800
内容类型：application/octet-stream
最后修改时间：2013 年 10 月 4 日星期五 00:14:07 GMT
接受范围：字节
ETag：“80f18a496c0ce1:0”
服务器：Microsoft-IIS/7.5
X-Powered-By：ASP.NET
内容长度：54009
日期：2013 年 10 月 22 日星期二 12:44:14 GMT
连接：保持连接

这使我得出结论，这两个都是克罗地亚微软 CDN 的成员。

我尝试禁用 Windows 更新服务，但 .215 的下载仍在继续。这很麻烦；夏天的时候，我在 10 分钟内通过 3G 下载了超过 200mb 的数据，然后我才注意到发生了什么。这发生在我向提供商支付 1GB 流量费用几分钟后。我真的不喜欢微软在被明确告知不要在后台下载任何更新后浪费我的钱。

今天我又注意到了这一点。虽然我目前没有通过手机连接，但我很想一劳永逸地找到解决这个问题的方法。

由于我不想随机禁用服务并希望击中产生流量的服务，因此我更愿意确定哪个服务正在产生流量。

如何确定哪个后台服务启动了下载？如何确定哪些后台服务正在生成网络流量？