0%

用ProcessMonitor找出偷占网速元凶

用ProcessMonitor找出偷占网速元凶

我们在使用电脑的过程中、经常会出现网速变慢的情况;这个时候我们就需要排查出到底是那一个程序在下载、并且我们需要知道它在下载什么内容;

这次我们需要用到’TCPView’和’ProcessMonitor’这2款微软出品的软件;所用到的中文版程序在文章末尾可以下载到。

网速变慢、电脑太卡

当我们发现网速变慢之后、可以通过一些软件来确认是否有下载的情况;我这里是用的NetMeter在监控网络流量;如果你安装了360或者是腾讯电脑管家的他们都是有系统挂件可以看到当前流量情况。

查看网速情况

通过上面可以看到我的电脑上下载速度在1.3M左右;由于我们公司对每一台电脑限速了;所以基本上1.3M就是我们能下载的全部速度了;这个时候如果想开个网页、看个视频、都变得很艰难!

用TCPView找出偷占流量的进程名

我们先用TCPView来查找到底是谁在偷偷的大量下载;
打开TCPView之后通过’接收字节’排序;接收字节越大说明下载量越大

把TCPView用起来

然后通过下载量最大的这条记录找到进程名和进程ID(进程名Svchost.exe/进程ID 4188)

用TCPView找出进程名称以及进程ID

祭出杀器 ProcessMonitor

Process Monitor是一款系统进程监视软件、使用者可以对系统中的任何文件和注册表操作同时

进行监视和记录;

前面我们同TCPView找到了进程名称和进程ID;但是我们还是不知道在下载什么内容
所以我们要用ProcessMonitor来做接下来的操作

ProcessMoniter过滤器

在ProcessMonitor的过滤器中来过滤我们前面用TCPView找出来的进程ID 4188、当然也可以用进程名称

清理ProcessMonitor的过滤结果

用进程ID或者进程名称过滤出来的结果会很多;
通过ProcessMonitor我们可以看到这个进程所有的操作;包括注册表、网络连接、读写文件等操作

ProcessMoniter过滤结果

偷跑网速一般情况下都会是在下载文件;所以我们可以只查看读写文件操作

仅查看读写文件数据

只看读写文件操作

找到下载路径

通过上面过滤之后我们可以看到Svchost把文件写入到那一个目录

找出下载路径

通过上面一阵操作之后我们可以看到’Svchost.exe’这个程序把文件下载回来写入到了’C:\Windows\SoftwareDistribution\Download’;所以我们打开目录看一下到底下载了什么内容

确认下载回来的文件内容

打开目录之后看文件名有点像是微软自家的东西

为了确认下我们看下文件的数字签名

通过’WindowsUpdateBox’和微软的签名来判断应该是操作系统的自动更新;
那我们去看下是否是系统自动更新

系统自动更新

在系统自动更新界面我们看到的确是正在下载更新补丁

总结一下

到这里问题解决了我们来回顾一下

  1. 当我发现电脑网速异常变慢之后、用NetMeter来确认的确是我的电脑在下载文件
  2. 然后我用TCPView来找出是那一个进程名称和进程ID在下载文件(Svchost.exe)
  3. 接着我用ProcessMonitor来确认是Svchost.exe把文件下载到了C盘的一个目录
  4. 在下载目录中发现下载回来的文件是微软的签名
  5. 通过文件名称怀疑是微软的自动更新
  6. 最终在控制面板中确认是操作系统的在自动更新补丁

文中用到的工具下载

ProcessMonitor中文版

TCPView中文版