Wie kann man sehen, welche Anwendungen den "Host-Prozess für Windows-Dienste" verwenden, um erfasste Daten abzurufen?

6

In einem Land, in dem Daten teuer sind, muss ich viel Zeit für Zählerverbindungen aufwenden. Ich verwende die Glasswire-Firewall , um zu überwachen , welche Software meine wertvollen Daten verwendet, und um Programme zu drosseln, die zu viel verwenden (oder keine verwenden sollten). Auf diese Weise kann ich sehen, welche Software wie viele Daten verwendet, und dann den Internetzugang für die Datenfresser ein- und ausschalten, die meine Einstellung für das "gemessene Netzwerk" nicht berücksichtigen ( z . B. Dropbox ).

Mein Problem ist, manchmal schleicht sich Software durch Huckepack auf der Rückseite von Glasswire herum Host Process for Windows Services. Es zeigt sich, dass die Datennutzung dahingehend erfolgt, dass Host Process for Windows Serviceskeine Ahnung vorliegt, welche Anwendung den Host-Prozess verwendet:

Geben Sie hier die Bildbeschreibung ein

Meine einzigen Optionen sind, Host Process vollständig auszuschalten oder der Schurkenanwendung zu erlauben, meine Daten ungeprüft zu verarbeiten - und das hängt von vielen Programmen ab. Wenn ich es zum Beispiel heruntergefahren habe, funktioniert der Zugriff auf das Internet über meinen Browser nicht mehr.

Normalerweise werden nur sehr wenige Daten verwendet:

Geben Sie hier die Bildbeschreibung ein

... aber gelegentlich geht es um Bananen und beginnt ohne ersichtlichen Grund, Hunderte von Megabyte an Daten herunterzuladen. Manchmal gibt es einen Hinweis auf den Namen des Webhosts, auf den zugegriffen wird, aber oft handelt es sich um etwas Allgemeines wie akamai.

Beispielsweise hat Host Process for Windows Services in letzter Zeit ohne Warnung oder Erklärung etwa 250 MB heruntergeladen, fast alle davon stammten von akamai, eine kleine Menge stammte von adobe.com (aber das könnte ein Zufall gewesen sein). Ich musste mich entscheiden, ob ich alles, was von Host Process abhängt (einschließlich meiner Browser), ausschalten oder einer unbekannten Anwendung erlauben wollte, eine unbekannte, große Datenmenge ohne ersichtlichen Grund zu verarbeiten.


Kann ich in irgendeiner Weise sehen, wie Host Process für Windows-Dienste Daten aufnehmen und einzelne Verwendungen von Host Process für Windows-Dienste selektiv deaktivieren, ohne das Ganze zu beenden?

Antworten mit Glasswire oder vorhandenen Windows-Funktionen sind am besten, die Installation zusätzlicher Software ist jedoch ebenfalls in Ordnung, falls erforderlich.

user568458
quelle
Laut Wikipedia ist dies eine undokumentierte API. netstat -bZeigt an, zu welchem ​​Dienst eine Verbindung gehört, sodass alles möglich ist, was Sie möchten.
Daniel B

Antworten:

3

Ich habe vor einiger Zeit eine ähnliche Frage gestellt und schließlich eine Antwort auf eine Serverfehlerfrage zur Speichernutzung von Diensten gefunden. Die Antwort ist, jeden plausiblen Dienst vom Host-Prozess zu trennen, damit er auch für die Netzwerknutzung funktioniert. (Auch nach der Aufteilung bin ich nicht sicher, ob GlassWire die verschiedenen Dienste unterscheidet, aber Nirsoft CurrPorts oder Sysinternals Process Explorer tun es.)

Peter Mortensen:

Teilen Sie jeden Dienst so auf, dass er in einem eigenen SVCHOST.EXE-Prozess ausgeführt wird. Der Dienst, der die CPU-Zyklen beansprucht, wird im Task-Manager oder im Prozess-Explorer leicht sichtbar (das Leerzeichen nach "=" ist erforderlich):

SC Config Servicename Type= own

Tun Sie dies in einem Befehlszeilenfenster oder fügen Sie es in ein BAT-Skript ein. Administratorrechte sind erforderlich und ein Neustart des Computers ist erforderlich, bevor er wirksam wird.

Der ursprüngliche Zustand kann wiederhergestellt werden durch:

SC Config Servicename Type= share

Beispiel: So führen Sie die Windows-Verwaltungsinstrumentation in einer separaten SVCHOST.EXE aus:

SC Config winmgmt Type= own

Diese Technik hat keine negativen Auswirkungen, es sei denn, Sie erhöhen den Speicherverbrauch geringfügig. Abgesehen von der Überwachung der CPU-Auslastung für jeden Dienst ist es auch einfach, das Delta der Seitenfehler, die Festplatten-E / A-Lesegeschwindigkeit und die Festplatten-E / A-Schreibgeschwindigkeit für jeden Dienst zu überwachen. Wählen Sie für den Prozess-Explorer das Menü Spalten anzeigen / auswählen: Registerkarte Prozessspeicher / Seitenfehler-Delta, Registerkarte Prozessleistung / E / A-Delta-Schreibbytes, Registerkarte Prozessleistung / E / A-Delta-Lesebytes.


Auf den meisten Systemen gibt es nur einen SVCHOST.EXE-Prozess mit vielen Diensten. Ich habe diese Sequenz verwendet (sie kann direkt in ein Befehlszeilenfenster eingefügt werden):

rem  1. "Automatic Updates"
SC Config wuauserv Type= own

rem  2. "COM+ Event System"
SC Config EventSystem Type= own

rem  3. "Computer Browser"
SC Config Browser Type= own

rem  4. "Cryptographic Services"
SC Config CryptSvc Type= own

rem  5. "Distributed Link Tracking"
SC Config TrkWks Type= own

rem  6. "Help and Support"
SC Config helpsvc Type= own

rem  7. "Logical Disk Manager"
SC Config dmserver Type= own

rem  8. "Network Connections"
SC Config Netman Type= own

rem  9. "Network Location Awareness"
SC Config NLA Type= own

rem 10. "Remote Access Connection Manager"
SC Config RasMan Type= own

rem 11. "Secondary Logon"
SC Config seclogon Type= own

rem 12. "Server"
SC Config lanmanserver Type= own

rem 13. "Shell Hardware Detection"
SC Config ShellHWDetection Type= own

rem 14. "System Event Notification"
SC Config SENS Type= own

rem 15. "System Restore Service"
SC Config srservice Type= own

rem 16. "Task Scheduler"
SC Config Schedule Type= own

rem 17. "Telephony"
SC Config TapiSrv Type= own

rem 18. "Terminal Services"
SC Config TermService Type= own

rem 19. "Themes"
SC Config Themes Type= own

rem 20. "Windows Audio"
SC Config AudioSrv Type= own

rem 21. "Windows Firewall/Internet Connection Sharing (ICS)"
SC Config SharedAccess Type= own

rem 22. "Windows Management Instrumentation"
SC Config winmgmt Type= own

rem 23. "Wireless Configuration"
SC Config WZCSVC Type= own

rem 24. "Workstation"
SC Config lanmanworkstation Type= own

rem End.
fluxtendu
quelle
Ich muss den ersten Schritt falsch verstanden haben, denn wenn ich SC Config Servicename Type= owneine Eingabeaufforderung eingebe (als Administrator, Windows 8.1), kehrt sie einfach zurück [SC] OpenService FAILED 1060: The specified service does not exist as an installed service.- wo soll ich diesen Befehl einfügen? BEARBEITEN oh, ich verstehe, Servicenamesollte ein tatsächlicher Dienstname sein, haha, oops! Also gehe ich die Liste unten durch. Gibt es eine Möglichkeit, die anderen Dienstnamen auf meinem System zu finden? Ich denke, dass meine Rogue-Dienste nicht dem Standard entsprechen (wahrscheinlich Adobe oder Google)
user568458
Im Dienste - Manager (run services.msc) Rechtsklick auf den Dienst und wählen Sie Eigenschaften
fluxtendu