有没有办法确定传出连接中的哪个服务（在svchost.exe中）？

我正在使用更严格的策略来重做防火墙配置，并且我想确定某些传出连接的来源（和/或目标）。

我有一个问题，因为它们来自svchost.exe并转到Web内容/应用程序交付提供程序-或类似的文件：

5 IP in range: 82.96.58.0 - 82.96.58.255      --> Akamai Technologies         akamaitechnologies.com
3 IP in range: 93.150.110.0 - 93.158.111.255  --> Akamai Technologies         akamaitechnologies.com
2 IP in range: 87.248.194.0 - 87.248.223.255  --> LLNW Europe 2               llnw.net
205.234.175.175                               --> CacheNetworks, Inc.         cachefly.net
188.121.36.239                                --> Go Daddy Netherlands B.V.   secureserver.net

那么有可能知道特定连接执行哪种服务吗？或您对适用于这些规则的规则有何建议？

（Comodo防火墙和Windows 7）

更新：

netstat -ano＆tasklist /svc帮我一点点，但是它们在一个svchost.exe中提供了许多服务，因此仍然是一个问题。此外，“ tasklist / svc”返回的服务名称不容易阅读。

（所有连接都是HTTP（端口80），但我认为这无关紧要）

我在此服务器故障答案（关于服务和内存使用情况）中找到了一种方法，可以用来单独分析服务的网络使用情况（使用任何网络工具）

将每个服务拆分为在其自己的SVCHOST.EXE进程中运行，并且消耗CPU周期的服务将在任务管理器或进程资源管理器中轻松显示（“ =“之后的空格是必需的））：

SC Config Servicename Type= own

在命令行窗口中执行此操作，或将其放入BAT脚本中。需要具有管理特权，并且必须重新启动计算机才能生效。

可以通过以下方式恢复原始状态：

SC Config Servicename Type= share

SysInternals Process Explorer可以为您完成此任务。

打开svchost.exe您要分析的实例的流程属性。单击“ TCP / IP”选项卡。双击要查找的连接，以显示该连接的堆栈跟踪。您应该能够将堆栈追溯到实现该服务的DLL。这是有关Process Properites的帮助文件的摘录：

TCP / IP：

该页面上显示该进程拥有的所有活动TCP和UDP端点。

在Windows XP SP2和更高版本上，此页面包含一个“堆栈”按钮，该按钮将打开一个对话框，该对话框显示在打开时打开选定端点的线程的堆栈。这对于在系统进程和Svchost进程中确定端点的用途很有用，因为堆栈将包含负责端点的驱动程序或服务的名称

同样在配置符号

配置符号：在Windows NT及更高版本上，如果要让Process Explorer在进程属性对话框和线程堆栈窗口的“线程”选项卡中解析线程起始地址的地址，然后通过首先从Microsoft的网站下载Windows调试工具包来配置符号。站点并将其安装在其默认目录中。打开“配置符号”对话框，并指定“调试工具”目录中dbghelp.dll的路径，并通过为符号路径输入符号服务器字符串，使符号引擎根据需要从Microsoft将符号下载符号下载到磁盘上的目录。例如，要将符号下载到c：\ symbols目录，您可以输入以下字符串：

srv c：\ symbols http://msdl.microsoft.com/download/symbols

注意：您可能需要以管理员身份运行Process Explorer，才能看到线程的堆栈。

我知道这可能已经过时了，但是在“ svchost连接”的搜索中，该页面仍然排名很高，因此我将在这里输入我的信息。有一个名为Svchost Process Analyzer的工具，它可能会有所帮助：https : //www.neuber.com/free/svchost-analyzer/index.html

TCPView是一个图形工具，将向您显示服务，PID和TCP连接（本地和远程）：

尝试使用tasklist /svcand netstat或netstat -an从命令行。

这将向您显示正在使用svchost.exe的程序以及正在使用的端口。使用端口号，您可能可以查找通常使用该端口号的协议。请参阅TCP和UDP端口号列表。

使用任务管理器查看进程列表中每个进程的PID列。然后运行netstat -ano以查看活动的连接和关联的PID（=进程ID）。

如前所述，找到给定svchost进程的svchost PID和/或使用第三方应用程序，例如：Currports，ProcessExplorer将帮助您识别给定进程下的服务（svchost.exe或其他任何东西）。另外，Svchost Viewer或Svchost Analyzer也将严格显示svchost信息。

我还想补充一下：内置Windows任务管理器的较新版本至少会向您显示一些有关在svchost下运行的服务的有限信息（无需安装任何东西）：

首先，在“进程”下选择svchost进程。
右键单击给定的svchost进程，然后选择“转到服务”
。它将直接转到“服务”选项卡，并突出显示在该svchost进程下运行的给定服务。

另一种方法：
使用管理员CMD提示符：
tasklist /svc /fi "IMAGENAME eq svchost.exe" > svchost_services.txt
notepad svchost_services.txt
这也是获取有问题的给定svchost /服务的PID的快速方法。

NirSoft实用程序CurrPorts可以完成您想要的一切，包括过滤并提供流程服务列表。

实际上，它唯一的问题是如何在可能显示的大量信息列中进行选择。