Trong TCPView, tại sao quá trình svchost.exe cần lắng nghe trên nhiều cổng TCP và UDP

Nhìn vào TCPView tôi có thể thấy hơn 25 quy trình svchost sử dụng cổng TCP và UDP. Nếu các quy trình svchost này là các dịch vụ khác nhau được yêu cầu bởi Windows, thì tại sao nhiều người sẽ sử dụng mạng như vậy?

— Larry B
nguồn

+1. Câu hỏi hay. Windows là trò chuyện. svchosts che khuất những gì đang thực sự xảy ra.

— RedGrittyBrick

Mỗi quy trình svchost là một dịch vụ khác nhau. Bạn có thể sử dụng Process Explorer để kiểm tra các dịch vụ nào đang sử dụng cổng nào

— golimar

một câu hỏi hay là tại sao một quá trình không thể lắng nghe trên các cổng khác nhau? Tôi nghĩ sshd.exe của openssh có thể thực hiện một quá trình đó nhưng có thể nghe trên nhiều cổng. Có lẽ đó là vì các chương trình đều khác nhau, ví dụ như các tệp DLL khác nhau và sử dụng svchost để liên lạc qua

— barlop

Theo wikipedia :

Trong họ hệ điều hành Windows NT, svchost.exe (Máy chủ dịch vụ hoặc Svchost) là một quy trình hệ thống lưu trữ nhiều dịch vụ Windows. Hình ảnh thực thi của nó,% SystemRoot% \ System32 \ Svchost.exe hoặc% SystemRoot% \ SysWOW64 \ Svchost.exe (đối với dịch vụ 32 bit chạy trên hệ thống 64 bit) chạy trong nhiều trường hợp, mỗi dịch vụ lưu trữ một hoặc nhiều dịch vụ. Đó là điều cần thiết trong việc thực hiện cái gọi là các quy trình dịch vụ chia sẻ, trong đó một số dịch vụ có thể chia sẻ một quy trình để giảm tiêu thụ tài nguyên.

Vì vậy, dự kiến rằng bạn có rất nhiều quy trình Windows đang chạy trên một Svhost.exe. Nhiều người trong số họ chỉ sử dụng cổng TCP / IP (socket) để liên kết quá trình kết nối qua localhost. Đó là lý do tại sao bạn có thể thấy rất nhiều lưu lượng truy cập mạng qua svhost.exe.

Ngoài ra, bạn cũng có thể tìm thấy Dịch vụ Windows nào đang chạy trên svhost. Tôi chạy lệnh "tasklist / svc" trên máy tính của mình và nó trả về cho tôi các phụ thuộc giữa svhost và một số dịch vụ Windows đang chạy:

nhập mô tả hình ảnh ở đây

— Diogo
nguồn