Описание средства Port Reporter

Переводы статьи Переводы статьи
Код статьи: 837243 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье описывается средство Port Reporter, которое запускается в виде службы на компьютере под управлением Windows Server 2003, Windows XP или Windows 2000 и позволяет отслеживать использование портов TCP и UDP. В статье рассмотрены вопросы получения и установки данного средства. Программа установки средства Port Reporter создает соответствующие записи в реестре и устанавливает службу Port Reporter.

Кроме того, статья содержит сведения о настройке службы Port Reporter, а также о журналах, которые создаются этой службой.

Введение

В статье рассмотрены вопросы получения, установки и настройки средства Port Reporter, которое предназначено для регистрации данных об использовании портов TCP/IP на компьютерах под управлением Windows Server 2003, Windows XP и Windows 2000.

Обзор

Средство Port Reporter регистрирует данные об использовании портов TCP и UDP. Средство представляет собой программу небольшого размера, которая запускается в качестве службы на компьютере под управлением Windows Server 2003, Windows XP или Windows 2000.

На компьютерах под управлением Windows Server 2003 и Windows XP данная служба регистрирует следующие данные:
  • используемые порты;
  • процесс, который использует определенный порт;
  • является ли процесс службой;
  • модули, загруженные процессом;
  • учетные записи, от имени которых выполняется процесс.
На компьютере под управлением Windows 2000 служба регистрирует используемые порты, а также время их использования.

Собранные службой Port Reporter сведения позволяют отслеживать использование портов, применяются для устранения неполадок, а также для выполнения определенных задач, имеющих отношение к безопасности.

Получение средства Port Reporter

Чтобы загрузить средство Port Reporter, обратитесь на веб-узел центра загрузки Майкрософт по адресу:
http://www.microsoft.com/downloads/details.aspx?familyid=69ba779b-bae9-4243-b9d6-63e62b4bcd2e&displaylang=en


Внимание. Средство Port Reporter Parser предназначено для анализа журналов средства Port Reporter. Данное средство доступно для загрузки. Чтобы загрузить средство Port Reporter Parser, обратитесь на веб-узел Майкрософт по адресу:
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

Установка службы Port Reporter

Программа установки средства Port Reporter (Pr-Setup.exe) выполняет следующие операции.
  • Создает в системном реестре следующий раздел:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\PortReporter
    Этот раздел необходим для регистрации сообщений в журнале событий приложений данного компьютера.
  • Устанавливает службу Port Reporter.

    Для средства Port Reporter создается объект службы, который затем добавляется в базу данных диспетчера служб.

Установка службы Port Reporter в папку по умолчанию

По умолчанию служба Port Reporter устанавливается в следующую папку на жестком диске:
диск:\Program Files\PortReporter
Чтобы установить службу Port Reporter в папку по умолчанию, выполните следующие действия.
  1. Войдите в систему с помощью учетной записи члена локальной группы администраторов.
  2. Закройте все работающие программы, включая оснастки «Службы» и «Просмотр событий» из состава группы «Администрирование».
  3. Для запуска программы установки два раза щелкните файл Pr-Setup.exe.
  4. В ответ на предложение установить средство Port Reporter в папку Program Files нажмите клавишу Y.

    После этого программа установки создает папку Program Files\PortReporter, копирует в нее файл Portreporter.exe и регистрирует его в базе данных диспетчера служб.

Установка службы Port Reporter в другую папку

Чтобы установить службу Port Reporter в другую папку, выполните следующие действия.
  1. Войдите в систему с помощью учетной записи члена локальной группы администраторов.
  2. Закройте все работающие программы, включая оснастки «Службы» и «Просмотр событий» из состава группы «Администрирование».
  3. Скопируйте файлы Pr-setup.exe и Portreporter.exe в папку, где предполагается установить средство Port Reporter.

    Примечание. Программа установки должна запускаться только с локального жесткого диска, и не будет работать при запуске с компакт-диска или папки в сети.
  4. Введите следующую команду и нажмите клавишу ВВОД (папка — это полный путь (включая имя диска) к папке, содержащей файлы Pr-setup.exe и Portreporter.exe):
    pr-setup.exe -d 'папка'
    Например, для установки средства в папку D:\Tools\Port Reporter служит следующая команда:
    pr-setup.exe –d ‘d:\tools\port reporter\’
    В окне командной строки будут отображены такие сведения.
    C:\temp>pr-setup.exe -d 'папка'
    
    Installing Port Reporter service: папка
    
    Creating service...completed successfully
    
    Creating registry key and values...completed successfully
    
    Setup has successfully installed the Port Reporter service The service is currently stopped and set to manual startup type
    
    Please use the services applet in the control panel to configure and start the Port Reporter service
    
    
    press any key to exit setup
  5. Для завершения установки нажмите любую клавишу.

Настройка и запуск службы Port Reporter

Чтобы запустить службу Port Reporter, выполните следующие действия.
  1. В меню Пуск щелкните правой кнопкой мыши пункт Мой компьютер и выберите команду Управление.
  2. Раскройте узел Службы и приложения и выделите пункт Службы.
  3. На правой панели найдите службу Port Reporter.
  4. Чтобы запустить службу, два раза щелкните строку с ее названием и нажмите кнопку Пуск. Нажмите кнопку ОК.

    Служба Port Reporter заносит сообщение о запуске в журнал событий приложений.
По умолчанию для службы Port Reporter назначается тип запуска Вручную. Чтобы служба запускалась автоматически в процессе загрузки операционной системы, установите тип запуска Авто.

По умолчанию служба Port Reporter запускается с помощью учетной записи «Локальная система», что позволяет ей собирать сведения о процессах, которые не доступны учетным записям пользователей и администраторов. По этой причине корпорация Майкрософт не рекомендует изменять данный параметр.

Примечание. Поскольку служба выполняется в контексте учетной записи локальной системы, рекомендуется ограничить доступ к папке, в которой она установлена. Независимо от того, устанавливается служба Port Reporter в папку по умолчанию (%SystemDrive%\Program Files\PortReporter) или в другую папку, выполните следующие действия.
  • Установите службу Port Reporter в разделе с файловой системой NTFS.
  • Настройте таблицу управления доступом (ACL) таким образом, чтобы доступ к папке имели только члены локальной группы администраторов. Для этого выполните следующие действия.
    1. Запустите проводник Windows и найдите папку, в которой установлена программа (по умолчанию — %SystemDrive%\Program Files\PortReporter).
    2. Щелкните папку правой кнопкой мыши и выберите команду Свойства.
    3. В диалоговом окне свойств папки откройте вкладку Безопасность и проверьте список пользователей и групп, которые имеют доступ к этой папке. Таким правом должны обладать только члены локальной группы администраторов и системная учетная запись.
    4. Выделите остальных пользователей и группы, а затем нажмите кнопку Удалить. После того как в списке останутся только локальная группа «Администраторы» и системная учетная запись, нажмите кнопку Применить, а затем — ОК.

Место расположения файлов журнала

По умолчанию средство Port Reporter создает файлы журнала в следующей папке:
%systemroot%\System32\LogFiles\PortReporter
Если такой папки нет, она создается автоматически. Чтобы изменить папку для записи файлов журнала, необходимо на вкладке Общие окна свойств службы Port Reporter указать параметр запуска -ld, а затем — имя папки. Имя папки должно быть заключено в одинарные кавычки ('). Например, чтобы при запуске служба Port Reporter создавала файлы журнала в папке C:\Program Files\Port Reporter, введите в качестве параметра запуска следующую строку:
-ld ‘c:\program files\port reporter’

Размер файлов журнала

По умолчанию Port Reporter продолжает запись в файл журнала, пока его размер не достигнет 5 МБ, после чего создается новый файл. Для настройки размера файлов журнала служит параметр командной строки -ls. Допускается использование значений в диапазоне от 1000 до 102400 КБ. Например, чтобы увеличить размер файла журнала до 7000 КБ, укажите следующий параметр запуска:
-ls 7000
После указания необходимых параметров запустите службу Port Reporter. При этом в журнале событий приложений регистрируется два сообщения.
Тип: Уведомления
Источник: PortReporter
Категория: Отсутствует
Код (ID): 100
Описание:
The Port Reporter service was started.
Тип: Уведомления
Источник: PortReporter
Категория: Отсутствует
Код (ID): 100
Описание:
The Port Reporter service successfully created log files in the following directory: путь_к_папке

Удаление службы Port Reporter

Для удаления службы Port Reporter введите следующую команду и нажмите клавишу ВВОД:
pr-setup.exe -u
В окне командной строки будут отображены такие сведения.
Uninstalling Port Reporter service...

Deleting service... Stopping service...completed successfully

   Removing service...completed successfully

Deleting service...completed successfully

Deleting registry key and values...completed successfully


Setup successfully uninstalled the Port Reporter Service The installation directory has been left intact


press any key to exit setup
При удалении службы Port Reporter программа установки выполняет следующие действия.
  • Отменяет регистрацию службы Port Reporter в базе данных диспетчера служб.
  • Удаляет в системном реестре записи, которые были созданы в процессе установки службы.
Программа установки не удаляет папку, в которой расположены файлы Pr-setup.exe и PortReporter.exe, а также созданные службой файлы журналов.

Интерпретация содержимого журналов службы Port Reporter

Журналы службы Port Reporter создаются в следующих случаях:
  • при каждом запуске службы;
  • ежедневно в полночь;
  • по достижении файлом журнала размера 5 МБ (или размера, заданного с помощью параметра запуска).
При запуске службы Port Reporter создаются следующие журналы:
  • PR-INITIAL-*.log
  • PR-PORTS-*.log
  • PR-PIDS-*.log
Имя файла журнала содержит дату и время (24-х часовый стандарт) создания в формате год-месяц-день-часы-минуты-секунды. Например, 24 января 2004 г. в 8:49:30 будут созданы следующие файлы:
  • PR-INITIAL-04-01-24-8-49-30.log
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log

Журнал PR-INITIAL

Журнал PR-INITIAL содержит данные о портах, процессах и модулях, которые выполняются на компьютере на момент запуска службы Port Reporter. Кроме того, в нем указан контекст, в котором выполняется каждый процесс. Ниже представлен пример журнала PR-INITIAL, созданный в момент запуска службы Port Reporter на компьютере под управлением Windows XP.
Port Reporter Version 1.0 Log File

Service initialization log

System Date: <дата и время>


Local computer name:

 <имя_компьютера>

TCP/UDP Port to Process Mappings at service start-up

36 mappings found

PID:Process		Port		Local IP	State		 Remote IP:Port 0:System Idle		TCP 4857  	169.254.66.8 	TIME WAIT	 169.254.44.123:80 4:System		TCP 445  	0.0.0.0 	LISTENING	 0.0.0.0:6246 4:System		TCP 1026  	0.0.0.0 	LISTENING	 0.0.0.0:28726 4:System		TCP 139  	169.254.66.8 	LISTENING	 0.0.0.0:34925 4:System		UDP 445  	0.0.0.0 			 *:* 4:System		UDP 137  	169.254.66.8 			 *:* 4:System		UDP 138  	169.254.66.8 			 *:* 664:iexplore.exe	TCP 4867  	0.0.0.0 	LISTENING	 0.0.0.0:4225 664:iexplore.exe	TCP 4870  	0.0.0.0 	LISTENING	 0.0.0.0:45070 664:iexplore.exe	TCP 4871  	0.0.0.0 	LISTENING	 0.0.0.0:18494 664:iexplore.exe	TCP 4872  	0.0.0.0 	LISTENING	 0.0.0.0:6182 664:iexplore.exe	TCP 4867  	169.254.66.8 	ESTABLISHED	 169.254.44.123:80 664:iexplore.exe	TCP 4870  	169.254.66.8 	ESTABLISHED	 207.68.177.62:80 664:iexplore.exe	TCP 4871  	169.254.66.8 	ESTABLISHED	 207.46.248.110:80 664:iexplore.exe	TCP 4872  	169.254.66.8 	ESTABLISHED	 207.46.248.110:80 664:iexplore.exe	UDP 4817  	127.0.0.1 			 *:* 748:lsass.exe		UDP 500  	0.0.0.0 			 *:* 952:svchost.exe	TCP 135  	0.0.0.0 	LISTENING	 0.0.0.0:2096 1092:svchost.exe	TCP 1025  	0.0.0.0 	LISTENING	 0.0.0.0:2064 1092:svchost.exe	TCP 3002  	127.0.0.1 	LISTENING	 0.0.0.0:49193 1092:svchost.exe	TCP 3003  	127.0.0.1 	LISTENING	 0.0.0.0:39078 1092:svchost.exe	UDP 123  	169.254.66.8 			 *:* 1092:svchost.exe	UDP 123  	127.0.0.1 			 *:* 1192:svchost.exe	UDP 3009  	0.0.0.0 			 *:* 1192:svchost.exe	UDP 3015  	0.0.0.0 			 *:* 1192:svchost.exe	UDP 3016  	0.0.0.0 			 *:* 1228:svchost.exe	TCP 5000  	0.0.0.0 	LISTENING	 0.0.0.0:45223 1228:svchost.exe	UDP 1900  	169.254.66.8 			 *:* 1228:svchost.exe	UDP 1900  	127.0.0.1 			 *:* 1536:alg.exe		TCP 3001  	127.0.0.1 	LISTENING	 0.0.0.0:2064 1568:InoRpc.exe	TCP 42510  	0.0.0.0 	LISTENING	 0.0.0.0:14373 1568:InoRpc.exe	UDP 43508  	169.254.66.8 			 *:* 3764:msmsgs.exe	TCP 16521  	169.254.66.8 	LISTENING	 0.0.0.0:45294 3764:msmsgs.exe	UDP 4803  	0.0.0.0 			 *:* 3764:msmsgs.exe	UDP 9160  	169.254.66.8 			 *:* 3764:msmsgs.exe	UDP 9586  	169.254.66.8 			 *:* =======================

======================================================

Process ID: 4 (System)

System Process

PID	Port		Local IP	State		 Remote IP:Port 4	TCP 445  	0.0.0.0 	LISTENING	 0.0.0.0:6246 4	TCP 1026  	0.0.0.0 	LISTENING	 0.0.0.0:28726 4	TCP 139  	169.254.66.8 	LISTENING	 0.0.0.0:34925 4	UDP 445  	0.0.0.0 			 *:* 4	UDP 137  	169.254.66.8 			 *:* 4	UDP 138  	169.254.66.8 			 *:*

Port Statistics

TCP mappings: 3 UDP mappings: 3

TCP ports in a LISTENING state: 	3 = 100.00%


Could not access module information for this process

======================================================

Process ID: 748 (lsass.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: PolicyAgent Display Name: Службы IPSEC Service Type: shares a process with other services

Service Name: ProtectedStorage Display Name: Защищенное хранилище

Service Name: SamSs Display Name: Диспетчер учетных записей безопасности Service Type: shares a process with other services

PID	Port		Local IP	State		 Remote IP:Port 748	UDP 500  	0.0.0.0 			 *:*

Port Statistics

TCP mappings: 0 UDP mappings: 1


Loaded modules: D:\WINDOWS\system32\lsass.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000) D:\WINDOWS\system32\kernel32.dll (0x77E60000) D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000) D:\WINDOWS\system32\RPCRT4.dll (0x78000000) D:\WINDOWS\system32\LSASRV.dll (0x74520000) D:\WINDOWS\system32\msvcrt.dll (0x77C10000) D:\WINDOWS\system32\Secur32.dll (0x76F90000) D:\WINDOWS\system32\USER32.dll (0x77D40000) D:\WINDOWS\system32\GDI32.dll (0x77C70000) D:\WINDOWS\system32\SAMSRV.dll (0x74440000) D:\WINDOWS\system32\cryptdll.dll (0x76790000) D:\WINDOWS\system32\DNSAPI.dll (0x76F20000) D:\WINDOWS\system32\WS2_32.dll (0x71AB0000) D:\WINDOWS\system32\WS2HELP.dll (0x71AA0000) D:\WINDOWS\system32\MSASN1.dll (0x762A0000) D:\WINDOWS\system32\NETAPI32.dll (0x71C20000) D:\WINDOWS\system32\SAMLIB.dll (0x71BF0000) D:\WINDOWS\system32\MPR.dll (0x71B20000) D:\WINDOWS\system32\NTDSAPI.dll (0x767A0000) D:\WINDOWS\system32\WLDAP32.dll (0x76F60000) D:\WINDOWS\system32\msprivs.dll (0x743B0000) D:\WINDOWS\system32\kerberos.dll (0x71CF0000) D:\WINDOWS\system32\msv1_0.dll (0x76D10000) D:\WINDOWS\system32\netlogon.dll (0x744B0000) D:\WINDOWS\system32\w32time.dll (0x767C0000) D:\WINDOWS\system32\MSVCP60.dll (0x55900000) D:\WINDOWS\system32\iphlpapi.dll (0x76D60000) D:\WINDOWS\system32\USERENV.dll (0x75A70000) D:\WINDOWS\system32\schannel.dll (0x767F0000) D:\WINDOWS\system32\CRYPT32.dll (0x762C0000) D:\WINDOWS\system32\wdigest.dll (0x74380000) D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000) D:\WINDOWS\system32\setupapi.dll (0x76670000) D:\WINDOWS\system32\scecli.dll (0x74410000) D:\WINDOWS\system32\OLEAUT32.dll (0x77120000) D:\WINDOWS\system32\OLE32.DLL (0x771B0000) D:\WINDOWS\system32\shell32.dll (0x773D0000) D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000) D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000) D:\WINDOWS\system32\comctl32.dll (0x77340000) D:\WINDOWS\system32\ipsecsvc.dll (0x743E0000) D:\WINDOWS\system32\oakley.DLL (0x745D0000) D:\WINDOWS\system32\WINIPSEC.DLL (0x74370000) D:\WINDOWS\system32\mswsock.dll (0x71A50000) D:\WINDOWS\System32\wshtcpip.dll (0x71A90000) D:\WINDOWS\system32\pstorsvc.dll (0x743A0000) D:\WINDOWS\system32\psbase.dll (0x743C0000) D:\WINDOWS\System32\dssenh.dll (0x0FFA0000) ======================================================

Process ID: 952 (svchost.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: RpcSs Display Name: Удаленный вызов процедур (RPC) Service Type: shares a process with other services

PID	Port		Local IP	State		 Remote IP:Port 952	TCP 135  	0.0.0.0 	LISTENING	 0.0.0.0:2096

Port Statistics

TCP mappings: 1 UDP mappings: 0

TCP ports in a LISTENING state: 	1 = 100.00%

Loaded modules: D:\WINDOWS\system32\svchost.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000) D:\WINDOWS\system32\kernel32.dll (0x77E60000) D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000) D:\WINDOWS\system32\RPCRT4.dll (0x78000000) d:\windows\system32\rpcss.dll (0x75850000) D:\WINDOWS\system32\msvcrt.dll (0x77C10000) d:\windows\system32\WS2_32.dll (0x71AB0000) d:\windows\system32\WS2HELP.dll (0x71AA0000) D:\WINDOWS\system32\USER32.dll (0x77D40000) D:\WINDOWS\system32\GDI32.dll (0x77C70000) d:\windows\system32\Secur32.dll (0x76F90000) D:\WINDOWS\system32\userenv.dll (0x75A70000) D:\WINDOWS\system32\mswsock.dll (0x71A50000) D:\WINDOWS\System32\wshtcpip.dll (0x71A90000) D:\WINDOWS\system32\DNSAPI.dll (0x76F20000) D:\WINDOWS\system32\iphlpapi.dll (0x76D60000) D:\WINDOWS\System32\winrnr.dll (0x76FB0000) D:\WINDOWS\system32\WLDAP32.dll (0x76F60000) D:\WINDOWS\system32\rasadhlp.dll (0x76FC0000) D:\WINDOWS\system32\CLBCATQ.DLL (0x76FD0000) D:\WINDOWS\system32\ole32.dll (0x771B0000) D:\WINDOWS\system32\OLEAUT32.dll (0x77120000) D:\WINDOWS\system32\COMRes.dll (0x77050000) D:\WINDOWS\system32\VERSION.dll (0x77C00000) ======================================================

Process ID: 1092 (svchost.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: AudioSrv Display Name: Windows Audio Service Type: shares a process with other services

Service Name: BITS Display Name: Фоновая интеллектуальная служба передачи Service Type: shares a process with other services

Service Name: CryptSvc Display Name: Службы криптографии Service Type: shares a process with other services

Service Name: Dhcp Display Name: DHCP-клиент Service Type: shares a process with other services

Service Name: dmserver Display Name: Диспетчер логических дисков Service Type: shares a process with other services

Service Name: ERSvc Display Name: Служба регистрации ошибок  Service Type: shares a process with other services

Service Name: EventSystem Display Name: Система событий COM+  Service Type: shares a process with other services

Service Name: helpsvc Display Name: Справка и поддержка  Service Type: shares a process with other services

Service Name: lanmanserver Display Name: Сервер Service Type: shares a process with other services

Service Name: lanmanworkstation Display Name: Рабочая станция Service Type: shares a process with other services

Service Name: Messenger Display Name: Служба сообщений  Service Type: shares a process with other services

Service Name: Netman Display Name: Сетевые подключения.

Service Name: Nla Display Name: Служба сетевого расположения (NLA)  Service Type: shares a process with other services

Service Name: RasMan Display Name: Диспетчер подключений удаленного доступа  Service Type: shares a process with other services

Service Name: Schedule Display Name: Планировщик заданий

Service Name: seclogon Display Name: Вторичный вход в систему

Service Name: SENS Display Name: Уведомление о системных событиях shares a process with other services

Service Name: SharedAccess Display Name: Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS) shares a process with other services

Service Name: ShellHWDetection Display Name: Определение оборудования оболочки  Service Type: shares a process with other services

Service Name: srservice Display Name: Служба восстановления системы  Service Type: shares a process with other services

Service Name: TapiSrv Display Name: Телефония Service Type: shares a process with other services

Service Name: TermService Display Name: Службы терминалов  Service Type: shares a process with other services

Service Name: Themes Display Name: Темы  Service Type: shares a process with other services

Service Name: TrkWks Display Name: Клиент отслеживания изменившихся связей  Service Type: shares a process with other services

Service Name: W32Time Display Name: Служба времени Windows Service Type: shares a process with other services

Service Name: winmgmt Display Name: Инструментарий управления Windows  Service Type: shares a process with other services

Service Name: wuauserv Display Name: Автоматическое обновление  Service Type: shares a process with other services

Service Name: WZCSVC Display Name: Беспроводная настройка  Service Type: shares a process with other services

PID	Port		Local IP	State		 Remote IP:Port 1092	TCP 1025  	0.0.0.0 	LISTENING	 0.0.0.0:2064 1092	TCP 3002  	127.0.0.1 	LISTENING	 0.0.0.0:49193 1092	TCP 3003  	127.0.0.1 	LISTENING	 0.0.0.0:39078 1092	UDP 123  	169.254.66.8 			 *:* 1092	UDP 123  	127.0.0.1 			 *:*

Port Statistics

TCP mappings: 3 UDP mappings: 2

TCP ports in a LISTENING state: 	3 = 100.00%

Loaded modules: D:\WINDOWS\System32\svchost.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000) D:\WINDOWS\system32\kernel32.dll (0x77E60000) D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000) D:\WINDOWS\system32\RPCRT4.dll (0x78000000) D:\WINDOWS\system32\ole32.dll (0x771B0000) D:\WINDOWS\system32\GDI32.dll (0x77C70000) D:\WINDOWS\system32\USER32.dll (0x77D40000) d:\windows\system32\shsvcs.dll (0x76BD0000) D:\WINDOWS\system32\msvcrt.dll (0x77C10000) D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000) D:\WINDOWS\system32\shell32.dll (0x773D0000) D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000) D:\WINDOWS\system32\comctl32.dll (0x77340000) D:\WINDOWS\System32\WINSTA.dll (0x76360000) d:\windows\system32\dhcpcsvc.dll (0x76D80000) d:\windows\system32\DNSAPI.dll (0x76F20000) d:\windows\system32\WS2_32.dll (0x71AB0000) d:\windows\system32\WS2HELP.dll (0x71AA0000) d:\windows\system32\iphlpapi.dll (0x76D60000) d:\windows\system32\Secur32.dll (0x76F90000) D:\WINDOWS\System32\UxTheme.dll (0x5AD70000) D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000) d:\windows\system32\wzcsvc.dll (0x70B50000) d:\windows\system32\rtutils.dll (0x76E80000) d:\windows\system32\WMI.dll (0x76D30000) D:\WINDOWS\system32\OLEAUT32.dll (0x77120000) D:\WINDOWS\system32\CRYPT32.dll (0x762C0000) D:\WINDOWS\system32\MSASN1.dll (0x762A0000) d:\windows\system32\WTSAPI32.dll (0x76F50000) d:\windows\system32\ESENT.dll (0x69710000) D:\WINDOWS\system32\WLDAP32.dll (0x76F60000) d:\windows\system32\NETAPI32.dll (0x71C20000) D:\WINDOWS\system32\mswsock.dll (0x71A50000) D:\WINDOWS\System32\wshtcpip.dll (0x71A90000) D:\WINDOWS\System32\rastls.dll (0x555A0000) D:\WINDOWS\System32\ATL.DLL (0x76B20000) D:\WINDOWS\System32\CRYPTUI.dll (0x754D0000) D:\WINDOWS\System32\WINTRUST.dll (0x76C30000) D:\WINDOWS\system32\IMAGEHLP.dll (0x76C90000) D:\WINDOWS\system32\WININET.dll (0x76200000) D:\WINDOWS\System32\MPRAPI.dll (0x76D40000) D:\WINDOWS\System32\ACTIVEDS.dll (0x76E40000) D:\WINDOWS\System32\adsldpc.dll (0x76E10000) D:\WINDOWS\System32\SAMLIB.dll (0x71BF0000) D:\WINDOWS\System32\SETUPAPI.dll (0x76670000) D:\WINDOWS\System32\RASAPI32.dll (0x76EE0000) D:\WINDOWS\System32\rasman.dll (0x76E90000) D:\WINDOWS\System32\TAPI32.dll (0x76EB0000) D:\WINDOWS\System32\WINMM.dll (0x76B40000) D:\WINDOWS\System32\SCHANNEL.dll (0x767F0000) D:\WINDOWS\system32\USERENV.dll (0x75A70000) D:\WINDOWS\System32\WinSCard.dll (0x723D0000) D:\WINDOWS\System32\raschap.dll (0x70AF0000) D:\WINDOWS\system32\msv1_0.dll (0x76D10000) D:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000) D:\WINDOWS\System32\COMRes.dll (0x77050000) D:\WINDOWS\system32\VERSION.dll (0x77C00000) d:\windows\system32\schedsvc.dll (0x751D0000) d:\windows\system32\NTDSAPI.dll (0x767A0000) D:\WINDOWS\System32\MSIDLE.DLL (0x74F50000) D:\WINDOWS\System32\NTMARTA.DLL (0x76CE0000) d:\windows\system32\audiosrv.dll (0x708B0000) d:\windows\system32\wkssvc.dll (0x75170000) d:\windows\system32\cryptsvc.dll (0x74FA0000) d:\windows\system32\certcli.dll (0x75350000) d:\windows\pchealth\helpctr\binaries\pchsvc.dll (0x74F40000) d:\windows\system32\es.dll (0x76B70000) d:\windows\system32\ersvc.dll (0x74F80000) d:\windows\system32\dmserver.dll (0x74F90000) d:\windows\system32\srvsvc.dll (0x75090000) d:\windows\system32\msgsvc.dll (0x74F60000) d:\windows\system32\netman.dll (0x76DE0000) d:\windows\system32\seclogon.dll (0x73D20000) d:\windows\system32\sens.dll (0x722D0000) d:\windows\system32\srsvc.dll (0x751A0000) d:\windows\system32\POWRPROF.dll (0x74AD0000) d:\windows\system32\tapisrv.dll (0x733E0000) d:\windows\system32\PSAPI.DLL (0x76BF0000) d:\windows\system32\trkwks.dll (0x75070000) d:\windows\system32\w32time.dll (0x767C0000) d:\windows\system32\MSVCP60.dll (0x55900000) d:\windows\system32\wbem\wmisvc.dll (0x597A0000) d:\windows\system32\wbem\wbemcomn.dll (0x75290000) D:\WINDOWS\System32\VSSAPI.DLL (0x753E0000) d:\windows\system32\wuauserv.dll (0x74EC0000) D:\WINDOWS\System32\wuaueng.dll (0x01B20000) D:\WINDOWS\System32\ADVPACK.dll (0x75260000) D:\WINDOWS\System32\sfc.dll (0x76BB0000) D:\WINDOWS\System32\sfc_os.dll (0x76C60000) d:\windows\system32\rasmans.dll (0x72480000) d:\windows\system32\WINIPSEC.DLL (0x74370000) d:\windows\system32\netcfgx.dll (0x755F0000) d:\windows\system32\CLUSAPI.dll (0x55560000) d:\windows\system32\browser.dll (0x74FE0000) D:\WINDOWS\System32\winspool.drv (0x73000000) D:\WINDOWS\System32\rastapi.dll (0x72060000) D:\WINDOWS\System32\SXS.DLL (0x75E90000) D:\WINDOWS\system32\comsvcs.dll (0x75730000) D:\WINDOWS\system32\MTXCLU.DLL (0x750F0000) D:\WINDOWS\system32\WSOCK32.dll (0x71AD0000) D:\WINDOWS\system32\colbact.DLL (0x75130000) D:\WINDOWS\System32\RESUTILS.DLL (0x750B0000) D:\WINDOWS\System32\mtxoci.dll (0x750D0000) D:\WINDOWS\System32\unimdm.tsp (0x57CC0000) D:\WINDOWS\System32\uniplat.dll (0x72000000) D:\WINDOWS\System32\kmddsp.tsp (0x57D40000) D:\WINDOWS\System32\ndptsp.tsp (0x57D20000) D:\WINDOWS\System32\ipconf.tsp (0x57D50000) D:\WINDOWS\System32\h323.tsp (0x57D70000) D:\WINDOWS\System32\hidphone.tsp (0x57D60000) D:\WINDOWS\System32\HID.DLL (0x688F0000) D:\WINDOWS\System32\rasppp.dll (0x72240000) D:\WINDOWS\System32\ntlsapi.dll (0x724B0000) d:\windows\system32\ipnathlp.dll (0x66460000) d:\windows\system32\netshell.dll (0x75CF0000) d:\windows\system32\credui.dll (0x76C00000) d:\windows\system32\HNetCfg.dll (0x68880000) D:\WINDOWS\System32\rasadhlp.dll (0x76FC0000) D:\WINDOWS\System32\Wbem\wbemcore.dll (0x75450000) D:\WINDOWS\System32\Wbem\esscli.dll (0x75310000) D:\WINDOWS\System32\Wbem\FastProx.dll (0x75690000) D:\WINDOWS\System32\wbem\wmiutils.dll (0x75020000) D:\WINDOWS\System32\wbem\repdrvfs.dll (0x75200000) D:\WINDOWS\System32\wbem\wmiprvsd.dll (0x597F0000) D:\WINDOWS\System32\NCObjAPI.DLL (0x5F770000) D:\WINDOWS\System32\wbem\wbemess.dll (0x75390000) D:\WINDOWS\System32\winhttp.dll (0x76080000) d:\windows\system32\termsrv.dll (0x752D0000) d:\windows\system32\ICAAPI.dll (0x74F70000) d:\windows\system32\AUTHZ.dll (0x76CC0000) d:\windows\system32\mstlsapi.dll (0x75110000) D:\WINDOWS\System32\REGAPI.dll (0x76BC0000) D:\WINDOWS\System32\wbem\ncprov.dll (0x5F740000) D:\WINDOWS\System32\catsrvut.dll (0x6FB10000) D:\WINDOWS\System32\MfcSubs.dll (0x61990000) D:\WINDOWS\system32\MPR.dll (0x71B20000) D:\WINDOWS\System32\msi.dll (0x76400000) D:\WINDOWS\System32\Cabinet.dll (0x75150000) D:\WINDOWS\system32\urlmon.dll (0x1A400000) D:\WINDOWS\System32\catsrv.dll (0x6FBD0000) D:\WINDOWS\System32\upnp.dll (0x555F0000) D:\WINDOWS\System32\SSDPAPI.dll (0x74F00000) D:\WINDOWS\System32\RASDLG.dll (0x75550000) d:\windows\system32\qmgr.dll (0x5DDD0000) d:\windows\system32\SHFOLDER.dll (0x76780000) D:\WINDOWS\System32\qmgrprxy.dll (0x5DDC0000) D:\WINDOWS\System32\sensapi.dll (0x722B0000) D:\WINDOWS\System32\winrnr.dll (0x76FB0000) D:\WINDOWS\System32\wbem\wbemsvc.dll (0x74ED0000) D:\WINDOWS\System32\actxprxy.dll (0x71D40000) D:\WINDOWS\System32\wbem\wbemcons.dll (0x73D30000)
Поскольку Windows 2000 не поддерживает сопоставление портов процессам, в журнал PR-INITIAL помещается следующая строка:
Port to process mappings are not available on this system.

Журнал PR-PORTS

Журнал PR-PORTS содержит обобщенные данные об использовании портов TCP и UDP на локальном компьютере. Данные представлены в следующем формате с разделяющими запятыми:
дата,время,протокол,локальный порт,локальный IP-адрес,удаленный порт,удаленный IP-адрес, идентификатор процесса,модуль,контекст пользователя
На компьютерах под управлением Windows 2000, не поддерживающих сопоставление портов процессам, служба Port Reporter отображает данные в следующем формате:
дата,время,протокол,локальный порт,локальный IP-адрес,удаленный порт,удаленный IP-адрес
Ниже представлен пример журнала PR-PORTS.
Port Reporter Version 1.0 Log File - Port usage log

Check PR-PIDS-04-01-24-8-49-30.log for corresponding process data

Log format: date,time,protocol,local port,local IP address,remote port,remote IP address,PID,module,user context

04/1/24,8:52:21,TCP,4873,0.0.0.0,45070,0.0.0.0,664,iexplore.exe,<ДОМЕН\пользователь> 04/1/24,8:52:21,TCP,4873,169.254.66.8,80,63.208.107.43,664,iexplore.exe,<ДОМЕН\пользователь> 04/1/24,8:52:22,UDP,55441,169.254.66.8,*,*,3764,msmsgs.exe,<ДОМЕН\пользователь> 04/1/24,8:52:41,TCP,4874,0.0.0.0,4225,0.0.0.0,664,iexplore.exe,<ДОМЕН\пользователь> 04/1/24,8:52:41,TCP,4874,169.254.66.8,80,216.74.132.12,664,iexplore.exe,<ДОМЕН\пользователь> 4/1/24,21:36:2,TCP,2682,169.254.66.8,445,169.254.133.55,4,System, 04/1/24,21:51:2,TCP,2684,0.0.0.0,12390,0.0.0.0,4,System, 04/1/24,21:51:2,TCP,2684,169.254.66.8,445,169.254.133.55,4,System, 04/1/24,22:03:15,UDP,2686,0.0.0.0,*,*,2424,Virtual PC.exe,<ДОМЕН\пользователь> 04/1/24,22:03:15,UDP,2687,0.0.0.0,*,*,2424,Virtual PC.exe,<ДОМЕН\пользователь> 04/1/24,22:03:43,UDP,2688,0.0.0.0,*,*,2424,Virtual PC.exe,<ДОМЕН\пользователь> 04/1/24,22:04:9,TCP,2690,169.254.66.8,389,169.254.133.55,0,System Idle, 04/1/24,22:04:35,TCP,2691,0.0.0.0,18644,0.0.0.0,1260,svchost.exe 04/1/24,22:04:36,TCP,2691,169.254.66.8,80,169.254.133.55,1260,svchost.exe 04/1/24,22:04:36,UDP,2692,127.0.0.1,*,*,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE> 04/1/24,22:04:37,TCP,2693,0.0.0.0,2160,0.0.0.0,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE> 04/1/24,22:04:40,TCP,2693,169.254.66.8,80,169.254.133.55,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE> 04/1/24,22:05:2,UDP,2697,0.0.0.0,*,*,2424,Virtual PC.exe,<ДОМЕН\пользователь> 04/1/24,22:06:2,TCP,2698,0.0.0.0,12390,0.0.0.0,4,System, 04/1/24,22:06:2,TCP,2698,169.254.66.8,445,169.254.133.55,4,System, 04/1/24,22:06:46,UDP,2700,0.0.0.0,*,*,2424,Virtual PC.exe,<ДОМЕН\пользователь> 04/1/24,22:06:47,UDP,2701,0.0.0.0,*,*,2424,Virtual PC.exe,<ДОМЕН\пользователь> 04/1/24,22:06:47,UDP,2702,0.0.0.0,*,*,2424,Virtual PC.exe,<ДОМЕН\пользователь>
Некоторые записи в журнале PR-PORTS выглядят следующим образом:
04/1/24,22:06:2,TCP,2698,0.0.0.0,12390,0.0.0.0,4,System,
В данном случае контекст пользователя не указан. Это означает, что службе Port Reporter не удается определить учетную запись, которой сопоставлен процесс. Такие записи создаются для процессов System и «Бездействие системы». Анализируя данные о портах и процессах в файле PR-PORTS, выпишите дату и время создания записей, которые необходимо исследовать более подробно. Дополнительные сведения о записях из файла PR-PORTS можно найти в журнале PR-PIDS. Для этого выполните следующие действия.
  1. Запустите программу «Блокнот» и откройте журнал PR-PIDS.
  2. В меню Правка выберите команду Найти.
  3. В поле Что введите дату и время создания записи в журнале PR-PORTS и нажмите кнопку Найти далее.

Журнал PR-PIDS

Журнал PR-PIDS содержит подробные данные о портах, процессах, связанных модулях, а также учетных записях, от имени которых процессы были запущены. Ниже представлен пример журнала PR-PIDS.
Port Reporter Version 1.0 Log File

Process detail log

System Date: Sat Jan 24 08:49:31 2004


Local computer name:

 <имя_компьютера>


======================================================

Log entry below recorded at: <дата и время>

======================================================

Process ID: 664 (iexplore.exe)

User context: ДОМЕН\пользователь

Process doesn't appear to be a service

PID	Port		Local IP	State		 Remote IP:Port 664	TCP 4867  	0.0.0.0 	LISTENING	 0.0.0.0:4225 664	TCP 4873  	0.0.0.0 	LISTENING	 0.0.0.0:45070 664	TCP 4867  	169.254.66.8  	ESTABLISHED	 169.254.44.12:80 664	TCP 4873  	169.254.66.8  	SYN SENT	 169.254.44.12:80 664	UDP 4817  	127.0.0.1 			 *:*

Port Statistics

TCP mappings: 4 UDP mappings: 1

TCP ports in a LISTENING state: 	2 = 50.00% TCP ports in a SYN SENT state: 		1 = 25,00% TCP ports in a ESTABLISHED state: 	1 = 25.00%

Loaded modules: D:\Program Files\Internet Explorer\iexplore.exe (0x00400000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000) D:\WINDOWS\system32\kernel32.dll (0x77E60000) D:\WINDOWS\system32\msvcrt.dll (0x77C10000) D:\WINDOWS\system32\USER32.dll (0x77D40000) D:\WINDOWS\system32\GDI32.dll (0x77C70000) D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000) D:\WINDOWS\system32\RPCRT4.dll (0x78000000) D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000) D:\WINDOWS\System32\SHDOCVW.dll (0x71700000) D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000) D:\WINDOWS\system32\SHELL32.dll (0x773D0000) D:\WINDOWS\system32\comctl32.dll (0x77340000) D:\WINDOWS\system32\ole32.dll (0x771B0000) D:\WINDOWS\System32\uxtheme.dll (0x5AD70000) D:\WINDOWS\System32\BROWSEUI.dll (0x75F80000) D:\WINDOWS\System32\browselc.dll (0x72430000) D:\WINDOWS\system32\appHelp.dll (0x75F40000) D:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000) D:\WINDOWS\system32\OLEAUT32.dll (0x77120000) D:\WINDOWS\System32\COMRes.dll (0x77050000) D:\WINDOWS\system32\VERSION.dll (0x77C00000) D:\WINDOWS\system32\WININET.dll (0x76200000) D:\WINDOWS\system32\CRYPT32.dll (0x762C0000) D:\WINDOWS\system32\MSASN1.dll (0x762A0000) D:\WINDOWS\System32\Secur32.dll (0x76F90000) D:\WINDOWS\System32\cscui.dll (0x76620000) D:\WINDOWS\System32\CSCDLL.dll (0x76600000) D:\WINDOWS\System32\SETUPAPI.dll (0x76670000) D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (0x10000000) D:\Program Files\Microsoft\Rights Management Add-on\mime_filter.dll (0x5F200000) D:\WINDOWS\System32\SXS.DLL (0x75E90000) D:\WINDOWS\system32\urlmon.dll (0x1A400000) D:\WINDOWS\System32\shdoclc.dll (0x00DE0000) D:\WINDOWS\System32\mlang.dll (0x74770000) D:\WINDOWS\System32\wsock32.dll (0x71AD0000) D:\WINDOWS\System32\WS2_32.dll (0x71AB0000) D:\WINDOWS\System32\WS2HELP.dll (0x71AA0000) D:\WINDOWS\system32\mswsock.dll (0x71A50000) D:\WINDOWS\System32\wshtcpip.dll (0x71A90000) D:\WINDOWS\System32\RASAPI32.DLL (0x76EE0000) D:\WINDOWS\System32\rasman.dll (0x76E90000) D:\WINDOWS\System32\NETAPI32.dll (0x71C20000) D:\WINDOWS\System32\TAPI32.dll (0x76EB0000) D:\WINDOWS\System32\rtutils.dll (0x76E80000) D:\WINDOWS\System32\WINMM.dll (0x76B40000) D:\WINDOWS\System32\sensapi.dll (0x722B0000) D:\WINDOWS\system32\USERENV.dll (0x75A70000) D:\WINDOWS\System32\msi.dll (0x01370000) D:\WINDOWS\System32\DNSAPI.dll (0x76F20000) D:\WINDOWS\System32\winrnr.dll (0x76FB0000) D:\WINDOWS\system32\WLDAP32.dll (0x76F60000) D:\WINDOWS\System32\rasadhlp.dll (0x76FC0000) D:\WINDOWS\System32\mshtml.dll (0x63580000) D:\WINDOWS\System32\IMM32.DLL (0x76390000) D:\Program Files\Microsoft Office\Office10\msohev.dll (0x32520000) D:\WINDOWS\System32\jscript.dll (0x6B700000) D:\WINDOWS\System32\dxtrans.dll (0x6BDD0000) D:\WINDOWS\System32\ATL.DLL (0x76B20000) D:\WINDOWS\System32\ddrawex.dll (0x65000000) D:\WINDOWS\System32\DDRAW.dll (0x51000000) D:\WINDOWS\System32\DCIMAN32.dll (0x73BC0000) D:\WINDOWS\System32\dxtmsft.dll (0x6BE10000) D:\WINDOWS\System32\MSLS31.DLL (0x746C0000) D:\WINDOWS\System32\WINSPOOL.DRV (0x73000000) D:\WINDOWS\System32\wdmaud.drv (0x72D20000) D:\WINDOWS\System32\msacm32.drv (0x72D10000) D:\WINDOWS\System32\MSACM32.dll (0x77BE0000) D:\WINDOWS\System32\midimap.dll (0x77BD0000) D:\WINDOWS\System32\msxml3.dll (0x72E00000) D:\WINDOWS\System32\vbscript.dll (0x73300000) D:\WINDOWS\System32\IMGUTIL.DLL (0x66880000) D:\WINDOWS\System32\pngfilt.dll (0x5E310000) D:\WINDOWS\System32\wmp.dll (0x07680000) D:\WINDOWS\System32\MSVFW32.dll (0x73BD0000) D:\WINDOWS\System32\wmploc.dll (0x08110000) D:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll (0x6D440000) D:\WINDOWS\System32\OLEPRO32.DLL (0x5EDD0000) D:\Program Files\Java\j2re1.4.2\bin\jpiexp32.dll (0x6D310000) D:\Program Files\Java\j2re1.4.2\bin\jpishare.dll (0x6D380000) D:\PROGRA~1\Java\J2RE14~1.2\bin\client\jvm.dll (0x04F20000) D:\PROGRA~1\Java\J2RE14~1.2\bin\hpi.dll (0x02FE0000) D:\PROGRA~1\Java\J2RE14~1.2\bin\verify.dll (0x05070000) D:\PROGRA~1\Java\J2RE14~1.2\bin\java.dll (0x05080000) D:\PROGRA~1\Java\J2RE14~1.2\bin\zip.dll (0x050A0000) D:\Program Files\Java\j2re1.4.2\bin\awt.dll (0x083E0000) D:\Program Files\Java\j2re1.4.2\bin\fontmanager.dll (0x075F0000) D:\WINDOWS\System32\D3DIM700.DLL (0x5C000000) D:\Program Files\Java\j2re1.4.2\bin\jpicom32.dll (0x6D2F0000) D:\Program Files\Java\j2re1.4.2\bin\net.dll (0x07660000) D:\WINDOWS\System32\wintrust.dll (0x76C30000) D:\WINDOWS\system32\IMAGEHLP.dll (0x76C90000) D:\WINDOWS\System32\schannel.dll (0x767F0000) D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000) D:\WINDOWS\System32\dssenh.dll (0x0FFA0000) D:\WINDOWS\System32\wmvcore.dll (0x09270000) D:\WINDOWS\System32\WMASF.DLL (0x09470000) D:\WINDOWS\System32\actxprxy.dll (0x71D40000) D:\WINDOWS\System32\dispex.dll (0x6CC60000) D:\WINDOWS\System32\mshtmled.dll (0x74CB0000) D:\WINDOWS\System32\wmnetmgr.dll (0x09D90000) D:\WINDOWS\system32\msv1_0.dll (0x76D10000) D:\WINDOWS\system32\wdigest.dll (0x74380000) D:\WINDOWS\System32\winhttp.dll (0x76080000) D:\WINDOWS\System32\MPRAPI.dll (0x76D40000) D:\WINDOWS\System32\ACTIVEDS.dll (0x76E40000) D:\WINDOWS\System32\adsldpc.dll (0x76E10000) D:\WINDOWS\System32\SAMLIB.dll (0x71BF0000) D:\WINDOWS\System32\iphlpapi.dll (0x76D60000) D:\WINDOWS\System32\netman.dll (0x76DE0000) D:\WINDOWS\System32\WZCSvc.DLL (0x70B50000) D:\WINDOWS\System32\WMI.dll (0x76D30000) D:\WINDOWS\System32\DHCPCSVC.DLL (0x76D80000) D:\WINDOWS\System32\WTSAPI32.dll (0x76F50000) D:\WINDOWS\System32\WINSTA.dll (0x76360000) D:\WINDOWS\System32\ESENT.dll (0x69710000) D:\WINDOWS\System32\hnetcfg.dll (0x68880000) D:\WINDOWS\System32\netshell.dll (0x75CF0000) D:\WINDOWS\System32\credui.dll (0x76C00000) D:\WINDOWS\System32\wbem\wbemprox.dll (0x74EF0000) D:\WINDOWS\System32\wbem\wbemcomn.dll (0x75290000) D:\WINDOWS\System32\wbem\wbemsvc.dll (0x74ED0000) D:\WINDOWS\System32\wbem\fastprox.dll (0x75690000) D:\WINDOWS\System32\quartz.dll (0x35500000) D:\WINDOWS\System32\msdmo.dll (0x0ADF0000) D:\WINDOWS\System32\wmadmod.dll (0x0AE00000) D:\WINDOWS\System32\devenum.dll (0x35680000) D:\WINDOWS\System32\DSOUND.DLL (0x51080000) D:\WINDOWS\System32\KsUser.dll (0x5EF80000)

======================================================

Log entry below recorded at: <дата и время> ======================================================

Process ID: 3764 (msmsgs.exe)

User context: ДОМЕН\пользователь

Process doesn't appear to be a service

PID	Port		Local IP	State		 Remote IP:Port 3764	TCP 16521  	169.254.66.8 	LISTENING	 0.0.0.0:45294 3764	UDP 4803  	0.0.0.0 			 *:* 3764	UDP 9586  	169.254.66.8 			 *:* 3764	UDP 55441  	169.254.66.8 			 *:*

Port Statistics

TCP mappings: 1 UDP mappings: 3

TCP ports in a LISTENING state: 	1 = 100.00%

Loaded modules: D:\Program Files\Messenger\msmsgs.exe (0x00400000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000) D:\WINDOWS\system32\kernel32.dll (0x77E60000) D:\WINDOWS\system32\ADVAPI32.DLL (0x77DD0000) D:\WINDOWS\system32\RPCRT4.dll (0x78000000) D:\WINDOWS\system32\GDI32.DLL (0x77C70000) D:\WINDOWS\system32\USER32.dll (0x77D40000) D:\WINDOWS\system32\OLE32.DLL (0x771B0000) D:\WINDOWS\system32\OLEAUT32.DLL (0x77120000) D:\WINDOWS\system32\MSVCRT.DLL (0x77C10000) D:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\COMCTL32.DLL (0x71950000) D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000) D:\WINDOWS\system32\SHELL32.DLL (0x773D0000) D:\WINDOWS\System32\uxtheme.dll (0x5AD70000) D:\Program Files\Messenger\MSGSLANG.DLL (0x69200000) D:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000) D:\WINDOWS\System32\COMRes.dll (0x77050000) D:\WINDOWS\system32\VERSION.dll (0x77C00000) D:\WINDOWS\System32\SXS.DLL (0x75E90000) D:\WINDOWS\System32\wtsapi32.dll (0x76F50000) D:\WINDOWS\System32\WINSTA.dll (0x76360000) D:\WINDOWS\System32\es.dll (0x76B70000) D:\WINDOWS\System32\WS2_32.dll (0x71AB0000) D:\WINDOWS\System32\WS2HELP.dll (0x71AA0000) D:\Program Files\Messenger\rtcimsp.dll (0x00F30000) D:\WINDOWS\System32\WSOCK32.dll (0x71AD0000) D:\WINDOWS\System32\rtcdll.dll (0x5D370000) D:\WINDOWS\System32\ATL.DLL (0x76B20000) D:\WINDOWS\System32\Secur32.dll (0x76F90000) D:\WINDOWS\system32\WININET.dll (0x76200000) D:\WINDOWS\system32\CRYPT32.dll (0x762C0000) D:\WINDOWS\system32\MSASN1.dll (0x762A0000) D:\WINDOWS\System32\WINMM.dll (0x76B40000) D:\WINDOWS\System32\iphlpapi.dll (0x76D60000) D:\WINDOWS\System32\DNSAPI.dll (0x76F20000) D:\WINDOWS\System32\termmgr.dll (0x5B6F0000) D:\WINDOWS\System32\rtutils.dll (0x76E80000) D:\WINDOWS\System32\quartz.dll (0x35500000) D:\WINDOWS\system32\mswsock.dll (0x71A50000) D:\WINDOWS\System32\wshtcpip.dll (0x71A90000) D:\WINDOWS\System32\dxmrtp.dll (0x6BE70000) D:\WINDOWS\System32\MSVFW32.dll (0x73BD0000) D:\WINDOWS\System32\DSOUND.dll (0x51080000) D:\WINDOWS\System32\PSAPI.DLL (0x76BF0000) D:\WINDOWS\System32\devenum.dll (0x35680000) D:\WINDOWS\System32\setupapi.dll (0x76670000) D:\WINDOWS\System32\wdmaud.drv (0x72D20000) D:\WINDOWS\System32\msacm32.drv (0x72D10000) D:\WINDOWS\System32\MSACM32.dll (0x77BE0000) D:\WINDOWS\System32\midimap.dll (0x77BD0000) D:\WINDOWS\System32\msdmo.dll (0x01450000) D:\WINDOWS\System32\dpnhupnp.dll (0x018A0000) D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000) D:\WINDOWS\System32\rasapi32.dll (0x76EE0000) D:\WINDOWS\System32\rasman.dll (0x76E90000) D:\WINDOWS\System32\NETAPI32.dll (0x71C20000) D:\WINDOWS\System32\TAPI32.dll (0x76EB0000) D:\WINDOWS\System32\hnetcfg.dll (0x68880000) D:\WINDOWS\System32\netshell.dll (0x75CF0000) D:\WINDOWS\System32\credui.dll (0x76C00000) D:\WINDOWS\System32\DHCPCSVC.DLL (0x76D80000) D:\WINDOWS\System32\wbem\wbemprox.dll (0x74EF0000) D:\WINDOWS\System32\wbem\wbemcomn.dll (0x75290000) D:\WINDOWS\System32\wbem\wbemsvc.dll (0x74ED0000) D:\WINDOWS\System32\wbem\fastprox.dll (0x75690000) D:\WINDOWS\System32\netcfgx.dll (0x755F0000) D:\WINDOWS\System32\CLUSAPI.dll (0x55560000) D:\WINDOWS\System32\sensapi.dll (0x722B0000)

======================================================

Log entry below recorded at: <дата и время> ======================================================

Process ID: 2424 (Virtual PC.exe)

User context: ДОМЕН\пользователь

Process doesn't appear to be a service

PID	Port		Local IP	State		 Remote IP:Port 2424	TCP 1262  	0.0.0.0 	LISTENING	 0.0.0.0:2192 2424	TCP 1731  	0.0.0.0 	LISTENING	 0.0.0.0:53467 2424	TCP 2226  	0.0.0.0 	LISTENING	 0.0.0.0:45214 2424	TCP 2229  	0.0.0.0 	LISTENING	 0.0.0.0:2176 2424	TCP 4724  	0.0.0.0 	LISTENING	 0.0.0.0:26634 2424	TCP 4725  	0.0.0.0 	LISTENING	 0.0.0.0:2172 2424	TCP 4726  	0.0.0.0 	LISTENING	 0.0.0.0:39049 2424	TCP 4727  	0.0.0.0 	LISTENING	 0.0.0.0:37118 2424	TCP 4728  	0.0.0.0 	LISTENING	 0.0.0.0:16491 2424	TCP 4729  	0.0.0.0 	LISTENING	 0.0.0.0:20734 2424	TCP 4925  	0.0.0.0 	LISTENING	 0.0.0.0:2064 2424	TCP 4930  	0.0.0.0 	LISTENING	 0.0.0.0:8249 2424	TCP 4931  	0.0.0.0 	LISTENING	 0.0.0.0:61639 2424	TCP 4932  	0.0.0.0 	LISTENING	 0.0.0.0:22535 2424	TCP 2189  	127.0.0.1 	LISTENING	 0.0.0.0:45095 2424	TCP 1262  	169.254.66.8 	ESTABLISHED	 169.254.5.214:1745 2424	TCP 1731  	169.254.66.8 	ESTABLISHED	 169.254.4.228:1745 2424	TCP 2226  	169.254.66.8 	ESTABLISHED	 157.56.120.30:1745 2424	TCP 2229  	169.254.66.8 	ESTABLISHED	 157.56.121.78:1745 2424	TCP 4724  	169.254.66.8 	ESTABLISHED	 169.254.4.38:1745 2424	TCP 4725  	169.254.66.8 	ESTABLISHED	 169.254.5.105:1745 2424	TCP 4726  	169.254.66.8 	ESTABLISHED	 169.254.5.103:1745 2424	TCP 4727  	169.254.66.8 	ESTABLISHED	 169.254.4.240:1745 2424	TCP 4728  	169.254.66.8 	ESTABLISHED	 169.254.7.23:1745 2424	TCP 4729  	169.254.66.8 	ESTABLISHED	 169.254.4.241:1745 2424	TCP 4925  	169.254.66.8 	ESTABLISHED	 169.254.121.89:1745 2424	TCP 4930  	169.254.66.8 	ESTABLISHED	 169.254.113.92:1745 2424	TCP 4931  	169.254.66.8 	ESTABLISHED	 169.254.113.87:1745 2424	TCP 4932  	169.254.66.8 	ESTABLISHED	 169.254.121.93:1745 2424	UDP 2686  	0.0.0.0 			 *:* 2424	UDP 2687  	0.0.0.0 			 *:*

Port Statistics

TCP mappings: 29 UDP mappings: 2

TCP ports in a LISTENING state: 	15 = 51.72% TCP ports in a ESTABLISHED state: 	14 = 48.28%

Loaded modules: C:\Program Files\Microsoft Virtual PC\Virtual PC.exe (0x00400000)

C:\WINDOWS\System32\ntdll.dll (0x77F50000) C:\WINDOWS\system32\kernel32.dll (0x77E60000) C:\WINDOWS\System32\DDRAW.dll (0x51000000) C:\WINDOWS\system32\msvcrt.dll (0x77C10000) C:\WINDOWS\system32\USER32.dll (0x77D40000) C:\WINDOWS\system32\GDI32.dll (0x77C70000) C:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000) C:\WINDOWS\system32\RPCRT4.dll (0x78000000) C:\WINDOWS\System32\DCIMAN32.dll (0x73BC0000) C:\WINDOWS\System32\DINPUT.dll (0x72280000) C:\WINDOWS\System32\WINMM.dll (0x76B40000) C:\WINDOWS\System32\iphlpapi.dll (0x76D60000) C:\WINDOWS\System32\WS2_32.dll (0x71AB0000) C:\WINDOWS\System32\WS2HELP.dll (0x71AA0000) C:\WINDOWS\System32\PSAPI.DLL (0x76BF0000) C:\WINDOWS\system32\comdlg32.dll (0x763B0000) C:\WINDOWS\system32\SHLWAPI.dll (0x70A70000) C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\COMCTL32.dll (0x71950000) C:\WINDOWS\system32\SHELL32.dll (0x773D0000) C:\WINDOWS\System32\WINSPOOL.DRV (0x73000000) C:\WINDOWS\system32\ole32.dll (0x771B0000) C:\WINDOWS\system32\OLEAUT32.dll (0x77120000) C:\WINDOWS\system32\VERSION.dll (0x77C00000) C:\WINDOWS\System32\OLEACC.dll (0x74C80000) C:\WINDOWS\System32\MSVCP60.dll (0x55900000) C:\WINDOWS\System32\uxtheme.dll (0x5AD70000) C:\WINDOWS\System32\MSCTF.dll (0x74720000) C:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000) C:\WINDOWS\System32\COMRes.dll (0x77050000) C:\WINDOWS\System32\msxml4.dll (0x69B10000) C:\WINDOWS\System32\LINKINFO.dll (0x76980000) C:\WINDOWS\System32\ntshrui.dll (0x76990000) C:\WINDOWS\System32\ATL.DLL (0x76B20000) C:\WINDOWS\System32\NETAPI32.dll (0x71C20000) C:\WINDOWS\system32\USERENV.dll (0x75A70000) C:\Program Files\Microsoft Firewall Client\wspwsp.dll (0x55600000) C:\WINDOWS\System32\mswsock.dll (0x71A50000) C:\WINDOWS\System32\DNSAPI.dll (0x76F20000) C:\WINDOWS\System32\winrnr.dll (0x76FB0000) C:\WINDOWS\system32\WLDAP32.dll (0x76F60000) C:\WINDOWS\System32\wshtcpip.dll (0x71A90000) C:\WINDOWS\System32\rasadhlp.dll (0x76FC0000) C:\WINDOWS\System32\wdmaud.drv (0x72D20000) C:\WINDOWS\System32\msacm32.drv (0x72D10000) C:\WINDOWS\System32\MSACM32.dll (0x77BE0000) C:\WINDOWS\System32\midimap.dll (0x77BD0000) C:\WINDOWS\System32\HID.DLL (0x688F0000) C:\WINDOWS\System32\SETUPAPI.DLL (0x76670000) C:\Documents and Settings\user\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll (0x10000000) C:\WINDOWS\System32\mslbui.dll (0x605D0000) C:\WINDOWS\System32\Secur32.dll (0x76F90000) C:\WINDOWS\System32\security.dll (0x71F80000) C:\WINDOWS\system32\msv1_0.dll (0x76D10000) C:\WINDOWS\system32\appHelp.dll (0x75F40000) C:\WINDOWS\System32\cscui.dll (0x76620000) C:\WINDOWS\System32\CSCDLL.dll (0x76600000) C:\WINDOWS\system32\MPR.dll (0x71B20000) C:\WINDOWS\System32\ntlanman.dll (0x71C10000) C:\WINDOWS\System32\NETUI0.dll (0x71CD0000) C:\WINDOWS\System32\NETUI1.dll (0x71C90000) C:\WINDOWS\System32\NETRAP.dll (0x71C80000) C:\WINDOWS\System32\SAMLIB.dll (0x71BF0000) C:\WINDOWS\System32\drprov.dll (0x75F60000) C:\WINDOWS\System32\davclnt.dll (0x75F70000)

Служба Port Reporter отслеживает и регистрирует в соответствующих журналах изменение состояния портов, включая увеличение или уменьшение количества подключений к порту, а также изменение состояния существующих подключений. Служба Port Reporter сообщает об установке и закрытии подключений к ТСР-портам, а также об изменении состояния существующих подключений по протоколу ТСР. ТСР-порт может находиться в одном из следующих состояний:
  • CLOSE_WAIT
  • CLOSED
  • ESTABLISHED
  • FIN_WAIT_1
  • LAST_ACK
  • LISTEN
  • SYN_RECEIVED
  • SYN_SEND
  • TIMED_WAIT
Например, состояние порта меняется, если подключение, которое находится в состоянии ESTABLISHED, переходит в состояние CLOSE_WAIT. В некоторых случаях служба Port Reporter сообщает о том, что процесс «Бездействие системы» (PID 0) использует TCP-порты. Это происходит, когда установленная на компьютере программа подключается к ТСР-порту и сразу же отключается. Подключение остается в состоянии Timed Wait, несмотря на то, что программа уже закрыта. В этом случае служба Port Reporter сообщает, что порт занят, но не может определить использующую его программу (закрыта). Порт может пребывать в состоянии Timed Wait несколько минут после завершения работы использовавшего его процесса.

Кроме того, служба Port Reporter заносит в журнал соответствующие записи, когда установленная на компьютере программа подключается к новому UDP-порту. Например, подключение к UDP-порту 69 регистрируется в журналах PR-PORTS и PR-PIDS. Служба Port Reporter не сохраняет пакеты UDP, которые отправляются на UDP-порты, а только регистрирует, что порт UDP занят определенной программой и принимает пакеты. Корпорация Майкрософт рекомендует регулярно проверять в журналах событий «Система» и «Приложение» наличие сообщений службы Port Reporter. Такие сообщения регистрируются при запуске и остановке службы, а также, когда служба создает журналы или встречает ошибку. Источник событий — PortReporter, коды событий расположены в диапазоне от 100 до 112.

Поскольку Windows 2000, не поддерживает сопоставление портов процессам, в журнал PR-PIDS помещается следующая строка:
Port to process mappings are not available on this system.


Дополнительная информация

Для получения дополнительных сведений о службе Port Reporter см. веб-конференцию в следующей статье базы знаний Майкрософт:
840832 Веб-конференция службы поддержки, посвященная использованию средства Port Reporter

Ссылки

Средство PortQry 2.0 позволяет отслеживать операции на отдельных портах или всех портах, которые используются определенным процессом. Дополнительные сведения о средстве PortQry 2.0 см. в следующей статье базы знаний Майкрософт:
832919 Новые возможности средства PortQry 2.0
Внимание! Корпорация Майкрософт выпустила средство PortQueryUI, облегчающее использование средства PortQry и предоставляющее графический интерфейс. Чтобы загрузить средство PortQueryUI, обратитесь на веб-узел Майкрософт по адресу:
http://download.microsoft.com/download/3/f/4/3f4c6a54-65f0-4164-bdec-a3411ba24d3a/PortQryUI.exe
Внимание! Корпорация Майкрософт выпустила средство Port Reporter Parser, позволяющее выполнять анализ журналов средства Port Reporter. Чтобы загрузить средство Port Reporter Parser, обратитесь на веб-узел Майкрософт по адресу:
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

Свойства

Код статьи: 837243 - Последний отзыв: 15 декабря 2004 г. - Revision: 6.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Операционная система Microsoft Windows 2000 Professional
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbhowtomaster KB837243

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com