Disponibilità e descrizione dello strumento Port Reporter

Riepilogo

In questo articolo viene descritto lo strumento Port Reporter. Lo strumento Port Reporter viene eseguito come servizio su computer che eseguono Windows Server 2003, Windows XP e Windows 2000. Lo strumento registra l'attività delle porte TCP e UDP. In questo articolo contiene informazioni su come ottenere e installare lo strumento. Quando si installa lo strumento, il programma di installazione crea le voci di registro appropriate e installa il servizio Port Reporter.

In questo articolo contiene inoltre informazioni su come utilizzare i parametri di avvio per configurare il servizio Port Reporter e informazioni sui file di registro Port Reporter generati dal servizio Port Reporter.

INTRODUZIONE

In questo articolo contiene informazioni su come ottenere, installare e configurare lo strumento Port Reporter. Lo strumento Port Reporter è uno strumento che consente di registrare i dati di porta TCP/IP su computer che eseguono Microsoft Windows Server 2003, Microsoft Windows XP o Microsoft Windows 2000.

Torna all'inizio

Cenni preliminari

Lo strumento Port Reporter registra l'attività delle porte TCP e UDP. Lo strumento è un piccolo programma che viene eseguito come servizio su un computer che esegue Windows Server 2003, Windows XP o Windows 2000.

In Windows Server 2003 e in computer basati su Windows XP, il servizio può registrare le seguenti informazioni:
  • Le porte utilizzate
  • I processi che utilizzano la porta
  • Se il processo è un servizio
  • I moduli caricati in un processo
  • Gli account utente che esegue un processo
Nei computer basati su Windows 2000, il servizio registra le porte utilizzate e quando le porte vengono utilizzate.

È possibile utilizzare le informazioni che viene eseguite lo strumento Port Reporter che consentono di tenere traccia dell'utilizzo di porta e risolvere alcuni problemi. Le informazioni che viene eseguite lo strumento Port Reporter inoltre possono essere utile per motivi di sicurezza.


Torna all'inizio

Ottenere lo strumento Port Reporter

Lo strumento Port Reporter è disponibile da questo collegamento in Microsoft Download Center:

Importante Lo strumento porta Reporter Parser è un parser di registro per i file di registro Port Reporter. Questo strumento è ora disponibile per il download. Porta Reporter Parser dispone di numerose funzionalità che consentono di analizzare i file di registro Port Reporter. È possibile scaricare lo strumento porta Reporter Parser dal seguente sito web Microsoft:
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

Torna all'inizio

Installare il servizio Port Reporter

Quando si esegue il programma di installazione (Pr-Setup.exe) per installare Port Reporter, il programma di installazione esegue le operazioni seguenti:
  • Aggiunge la seguente sottochiave del Registro di sistema nel Registro di sistema di Windows:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\PortReporter
    Il servizio Port Reporter richiede questa chiave del Registro di sistema per registrare le voci nel registro eventi applicazione del computer.
  • Installa il servizio Port Reporter.

    Il programma di installazione crea un oggetto servizio per lo strumento Port Reporter, quindi aggiunge l'oggetto nel database di Gestione controllo servizi.
Torna all'inizio

Installare il servizio Port Reporter nel percorso predefinito

Per impostazione predefinita, il servizio Port Reporter viene installato nella seguente cartella sul disco rigido:
drive:\Program Files\PortReporter
Per installare il servizio Port Reporter nel percorso predefinito:
  1. Accedere al computer come membro del gruppo administrators locale.
  2. Chiudere tutti i programmi in eseguono sul computer, tra cui il Visualizzatore eventi e strumento Servizi in strumenti di amministrazione.
  3. Fare doppio clic su Pr-Setup.exe per eseguire il programma di installazione.
  4. Quando viene chiesto di installare lo strumento Port Reporter nella cartella programmi, premere Y.

    Dopo aver premuto Y, il programma di installazione crea una sottocartella denominata PortReporter nella cartella programmi. Portreporter.exe viene copiata nella sottocartella e viene registrato come un servizio in Gestione controllo servizi.
Torna all'inizio

Installare il servizio Port Reporter in una posizione diversa rispetto a quella predefinita

Per installare il servizio Port Reporter in una posizione diversa rispetto a quella predefinita:
  1. Accedere al computer come membro del gruppo administrators locale.
  2. Chiudere tutti i programmi in eseguono sul computer, tra cui il Visualizzatore eventi e strumento Servizi in strumenti di amministrazione.
  3. Copiare la cartella in cui si desidera installare lo strumento Port Reporter per il file Pr-setup.exe e il file Portreporter.exe.

    Nota: È necessario eseguire il programma di installazione da un'unità fissa, locale. Non è possibile eseguire il programma di installazione da un'unità di rete o da un'unità CD-ROM.
  4. Al prompt dei comandi, digitare la riga seguente e quindi premere INVIO, dove PathOfFolder è l'unità e il percorso della cartella che contiene il file Pr-setup.exe e il file Portreporter.exe:
    pr-setup.exe - d 'PathOfFolder'
    Ad esempio, per installare lo strumento per la cartella Reporter D:\Tools\Port, digitare
    pr-setup.exe –d ‘d:\tools\port reporter\’
    Viene visualizzato l'output simile al seguente nella finestra del prompt dei comandi:
    C:\temp>pr-setup.exe -d ' PathOfFolder '
    Installing Port Reporter service: PathOfFolder

    Creating service...completed successfully

    Creating registry key and values...completed successfully

    Setup has successfully installed the Port Reporter service
    The service is currently stopped and set to manual startup type

    Please use the services applet in the control panel to configure
    and start the Port Reporter service


    press any key to exit setup
  5. Premere un tasto qualsiasi per uscire dal programma di installazione.
Torna all'inizio

Configurare e avviare il servizio Port Reporter

Per verificare che il servizio Port Reporter installato correttamente e per avviare il servizio, attenersi alla seguente procedura:
  1. Fare clic su Start, Risorse delcomputer e quindi fare clic su Gestisci.
  2. Espandere servizi e applicazionie quindi servizi.
  3. Nel riquadro di destra, verificare che sia presente il servizio Port Reporter.
  4. Per avviare il servizio, fare doppio clic sul nome del servizio e quindi fare clic per selezionare il pulsante Start . Fare clic su
    OK.

    Il servizio Port Reporter verrà creata una voce di registro nel registro dell'applicazione che indica che è avviato.
Per impostazione predefinita, il tipo di avvio per il servizio Port Reporter è impostato per utilizzare l'impostazione manuale . Se si desidera che il servizio venga avviato automaticamente all'avvio di Windows, impostare il tipo di avvio per l'utilizzo di
Impostazione automatica .

Per impostazione predefinita, il servizio Port Reporter utilizza l'account di sistema locale per accedere al computer. Utilizzando l'account sistema locale, servizio Port Reporter può raccogliere informazioni dettagliate sui processi che l'account administrator o altri account utente non ha accesso a. Per questo motivo, Microsoft consiglia di non modificare questa impostazione.

Nota: Poiché questo servizio viene eseguito nel contesto dell'account di sistema locale, si consiglia di proteggere la cartella in cui è installato Port Reporter. Se si installa Port Reporter nel percorso predefinito (%SystemDrive%\Program Files\PortReporter) o in un percorso personalizzato, è necessario eseguire la procedura seguente:
  • Installazione porta Reporter solo su una partizione NTFS
  • Modificare l'elenco di controllo di accesso (ACL) nella cartella di installazione in modo che solo il gruppo Administrators locale ha accesso alla cartella. A tale scopo, attenersi alla seguente procedura:
    1. Avviare Esplora risorse e quindi individuare la cartella di installazione. Per impostazione predefinita è %SystemDrive%\Program Files\PortReporter.
    2. Pulsante destro del mouse sulla cartella e quindi fare clic su
      Le proprietà.
    3. La finestra di dialogo proprietà di cartella, selezionare il
      Protezione della scheda e quindi controllare i nomi utente e di gruppo che hanno accesso alla cartella. Il gruppo Administrators locale e l'account di sistema deve avere accesso a questa cartella
    4. Selezionare eventuali altri gruppi e utenti che sono elencati, fare clic su Rimuovi. Quando l'elenco contiene solo il gruppo Administrators locale e l'account di sistema, fare clic su Applicae quindi fare clic su OK.

Percorso del file di registro

Per impostazione predefinita, lo strumento Port Reporter tenta di creare i file di registro nella seguente cartella:
%systemroot%\System32\LogFiles\PortReporter
Se questa cartella non esiste già, la cartella viene creata automaticamente. È possibile configurare il percorso del file di registro utilizzando il parametro di avvio specificato nella scheda Generale della finestra di
Finestra di dialogo servizio Port Reporter . Per specificare la cartella del file registro, utilizzare l' opzione della riga di comando, seguito dal nome della cartella che si desidera utilizzare -ld . Assicurarsi che il nome della cartella è racchiudere tra virgolette singole ('). Ad esempio, se si specifica il seguente parametro di avvio, il servizio Port Reporter crea file di log nella cartella c:\Programmi\Microsoft Files\Port Reporter all'avvio del servizio Port Reporter:
-ld 'c:\Programmi\Microsoft files\port reporter'

Dimensione del file di registro

Per impostazione predefinita, il servizio Port Reporter continua a scrivere i file di registro fino a quando i file di registro raggiungono 5 megabyte (MB). Dopo che i file di registro raggiungono i 5 MB, viene creato un nuovo file registro. Per configurare le dimensioni dei file di log, utilizzare l'opzione della riga di comando -ls . È possibile specificare una dimensione compresa tra 1000 kilobyte (KB) e 102400 KB. Ad esempio, se si specifica il seguente parametro di avvio, il servizio Port Reporter crea un nuovo file registro ogni volta che i file di registro raggiungono 7000 KB:
ls - 7000
Dopo aver configurato il servizio Port Reporter con i parametri di avvio che si desidera, è possibile avviare il servizio. Quando si avvia il servizio Port Reporter, i seguenti due eventi vengono registrati nel registro eventi dell'applicazione:
Tipo: informazioni
Origine: PortReporter

Categoria: nessuno
ID evento: 100
Descrizione:
Avvio del servizio Port Reporter.
Tipo: informazioni
Origine: PortReporter
Categoria: nessuno
ID evento: 100
Descrizione:

I file di registro creato servizio Port Reporter nella seguente directory: PathOfLogFiles
Torna all'inizio

Rimuovere il servizio Port Reporter

Per rimuovere il servizio Port Reporter, digitare la riga seguente al prompt dei comandi e quindi premere INVIO:
pr-setup.exe - u
Viene visualizzato l'output simile al seguente nella finestra del prompt dei comandi:
Uninstalling Port Reporter service...
Deleting service...
Stopping service...completed successfully

Removing service...completed successfully

Deleting service...completed successfully

Deleting registry key and values...completed successfully


Setup successfully uninstalled the Port Reporter Service
The installation directory has been left intact


press any key to exit setup

Quando si rimuove il servizio Port Reporter, il programma di installazione esegue le operazioni seguenti:
  • Annulla la registrazione del servizio Port Reporter dal database di Gestione controllo servizi.
  • Elimina le voci di registro creati durante l'installazione del servizio Port Reporter.
Quando si rimuove il servizio Port Reporter, il programma di installazione non rimuove la cartella contenente il file Pr-setup.exe e il file PortReporter.exe e non il programma di installazione rimossi i file di log creati dal servizio.

Torna all'inizio

Interpretare i file di registro Port Reporter

Il servizio Port Reporter crea i file di registro nei seguenti casi:
  • Ogni volta che viene avviato il servizio Port Reporter
  • Ogni giorno a mezzanotte.
  • Quando il file di registro raggiunge i 5 MB o quando il file di registro raggiunge la dimensione personalizzata specificata nel parametro di avvio.
Quando si avvia il servizio Port Reporter, vengono creati i seguenti file di registro:
  • PR-INITIAL-*.log
  • PR-PORTS-*.log
  • PR-PIDS-*.log
Il nome di ogni file di registro viene utilizzata la data e l'ora (nel formato 24 ore) in cui è stato creato il file. Il formato di data e ora è year-month-day-hour-minute-second. Ad esempio, i seguenti tre file sono stati creati il 24 gennaio 2004, ore 8:49:30:
  • PR-INITIAL-04-01-24-8-49-30.log
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log
Torna all'inizio

Il file di registro iniziale PR

Il file di registro iniziale PR contiene dati raccolti dal servizio Port Reporter sulle porte, processi e moduli che vengono eseguiti sul computer quando viene avviato il servizio Port Reporter. Viene inoltre registrato il contesto utente in esecuzione con ogni processo. Di seguito è un esempio del contenuto di un file di registro su un computer basato su Windows XP creato durante l'avvio del servizio Port Reporter PR iniziale:
Port Reporter Version 1.0 Log File
Service initialization log

System Date: <Date and Time>


Local computer name:

<ComputerName>

TCP/UDP Port to Process Mappings at service start-up

36 mappings found

PID:ProcessPortLocal IPState Remote IP:Port
0:System IdleTCP 4857 169.254.66.8 TIME WAIT 169.254.44.123:80
4:SystemTCP 445 0.0.0.0 LISTENING 0.0.0.0:6246
4:SystemTCP 1026 0.0.0.0 LISTENING 0.0.0.0:28726
4:SystemTCP 139 169.254.66.8 LISTENING 0.0.0.0:34925
4:SystemUDP 445 0.0.0.0 *:*
4:SystemUDP 137 169.254.66.8 *:*
4:SystemUDP 138 169.254.66.8 *:*
664:iexplore.exeTCP 4867 0.0.0.0 LISTENING 0.0.0.0:4225
664:iexplore.exeTCP 4870 0.0.0.0 LISTENING 0.0.0.0:45070
664:iexplore.exeTCP 4871 0.0.0.0 LISTENING 0.0.0.0:18494
664:iexplore.exeTCP 4872 0.0.0.0 LISTENING 0.0.0.0:6182
664:iexplore.exeTCP 4867 169.254.66.8 ESTABLISHED 169.254.44.123:80
664:iexplore.exeTCP 4870 169.254.66.8 ESTABLISHED 207.68.177.62:80
664:iexplore.exeTCP 4871 169.254.66.8 ESTABLISHED 207.46.248.110:80
664:iexplore.exeTCP 4872 169.254.66.8 ESTABLISHED 207.46.248.110:80
664:iexplore.exeUDP 4817 127.0.0.1 *:*
748:lsass.exeUDP 500 0.0.0.0 *:*
952:svchost.exeTCP 135 0.0.0.0 LISTENING 0.0.0.0:2096
1092:svchost.exeTCP 1025 0.0.0.0 LISTENING 0.0.0.0:2064
1092:svchost.exeTCP 3002 127.0.0.1 LISTENING 0.0.0.0:49193
1092:svchost.exeTCP 3003 127.0.0.1 LISTENING 0.0.0.0:39078
1092:svchost.exeUDP 123 169.254.66.8 *:*
1092:svchost.exeUDP 123 127.0.0.1 *:*
1192:svchost.exeUDP 3009 0.0.0.0 *:*
1192:svchost.exeUDP 3015 0.0.0.0 *:*
1192:svchost.exeUDP 3016 0.0.0.0 *:*
1228:svchost.exeTCP 5000 0.0.0.0 LISTENING 0.0.0.0:45223
1228:svchost.exeUDP 1900 169.254.66.8 *:*
1228:svchost.exeUDP 1900 127.0.0.1 *:*
1536:alg.exeTCP 3001 127.0.0.1 LISTENING 0.0.0.0:2064
1568:InoRpc.exeTCP 42510 0.0.0.0 LISTENING 0.0.0.0:14373
1568:InoRpc.exeUDP 43508 169.254.66.8 *:*
3764:msmsgs.exeTCP 16521 169.254.66.8 LISTENING 0.0.0.0:45294
3764:msmsgs.exeUDP 4803 0.0.0.0 *:*
3764:msmsgs.exeUDP 9160 169.254.66.8 *:*
3764:msmsgs.exeUDP 9586 169.254.66.8 *:*
=======================

======================================================

Process ID: 4 (System)

System Process

PIDPortLocal IPState Remote IP:Port
4TCP 445 0.0.0.0 LISTENING 0.0.0.0:6246
4TCP 1026 0.0.0.0 LISTENING 0.0.0.0:28726
4TCP 139 169.254.66.8 LISTENING 0.0.0.0:34925
4UDP 445 0.0.0.0 *:*
4UDP 137 169.254.66.8 *:*
4UDP 138 169.254.66.8 *:*

Port Statistics

TCP mappings: 3
UDP mappings: 3

TCP ports in a LISTENING state: 3 = 100.00%


Could not access module information for this process

======================================================

Process ID: 748 (lsass.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: PolicyAgent
Display Name: IPSEC Services
Service Type: shares a process with other services

Service Name: ProtectedStorage
Display Name: Protected Storage

Service Name: SamSs
Display Name: Security Accounts Manager
Service Type: shares a process with other services

PIDPortLocal IPState Remote IP:Port
748UDP 500 0.0.0.0 *:*

Port Statistics

TCP mappings: 0
UDP mappings: 1


Loaded modules:
D:\WINDOWS\system32\lsass.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000)
D:\WINDOWS\system32\kernel32.dll (0x77E60000)
D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000)
D:\WINDOWS\system32\RPCRT4.dll (0x78000000)
D:\WINDOWS\system32\LSASRV.dll (0x74520000)
D:\WINDOWS\system32\msvcrt.dll (0x77C10000)
D:\WINDOWS\system32\Secur32.dll (0x76F90000)
D:\WINDOWS\system32\USER32.dll (0x77D40000)
D:\WINDOWS\system32\GDI32.dll (0x77C70000)
D:\WINDOWS\system32\SAMSRV.dll (0x74440000)
D:\WINDOWS\system32\cryptdll.dll (0x76790000)
D:\WINDOWS\system32\DNSAPI.dll (0x76F20000)
D:\WINDOWS\system32\WS2_32.dll (0x71AB0000)
D:\WINDOWS\system32\WS2HELP.dll (0x71AA0000)
D:\WINDOWS\system32\MSASN1.dll (0x762A0000)
D:\WINDOWS\system32\NETAPI32.dll (0x71C20000)
D:\WINDOWS\system32\SAMLIB.dll (0x71BF0000)
D:\WINDOWS\system32\MPR.dll (0x71B20000)
D:\WINDOWS\system32\NTDSAPI.dll (0x767A0000)
D:\WINDOWS\system32\WLDAP32.dll (0x76F60000)
D:\WINDOWS\system32\msprivs.dll (0x743B0000)
D:\WINDOWS\system32\kerberos.dll (0x71CF0000)
D:\WINDOWS\system32\msv1_0.dll (0x76D10000)
D:\WINDOWS\system32\netlogon.dll (0x744B0000)
D:\WINDOWS\system32\w32time.dll (0x767C0000)
D:\WINDOWS\system32\MSVCP60.dll (0x55900000)
D:\WINDOWS\system32\iphlpapi.dll (0x76D60000)
D:\WINDOWS\system32\USERENV.dll (0x75A70000)
D:\WINDOWS\system32\schannel.dll (0x767F0000)
D:\WINDOWS\system32\CRYPT32.dll (0x762C0000)
D:\WINDOWS\system32\wdigest.dll (0x74380000)
D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000)
D:\WINDOWS\system32\setupapi.dll (0x76670000)
D:\WINDOWS\system32\scecli.dll (0x74410000)
D:\WINDOWS\system32\OLEAUT32.dll (0x77120000)
D:\WINDOWS\system32\OLE32.DLL (0x771B0000)
D:\WINDOWS\system32\shell32.dll (0x773D0000)
D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000)
D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000)
D:\WINDOWS\system32\comctl32.dll (0x77340000)
D:\WINDOWS\system32\ipsecsvc.dll (0x743E0000)
D:\WINDOWS\system32\oakley.DLL (0x745D0000)
D:\WINDOWS\system32\WINIPSEC.DLL (0x74370000)
D:\WINDOWS\system32\mswsock.dll (0x71A50000)
D:\WINDOWS\System32\wshtcpip.dll (0x71A90000)
D:\WINDOWS\system32\pstorsvc.dll (0x743A0000)
D:\WINDOWS\system32\psbase.dll (0x743C0000)
D:\WINDOWS\System32\dssenh.dll (0x0FFA0000)
======================================================

Process ID: 952 (svchost.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: RpcSs
Display Name: Remote Procedure Call (RPC)
Service Type: shares a process with other services

PIDPortLocal IPState Remote IP:Port
952TCP 135 0.0.0.0 LISTENING 0.0.0.0:2096

Port Statistics

TCP mappings: 1
UDP mappings: 0

TCP ports in a LISTENING state: 1 = 100.00%

Loaded modules:
D:\WINDOWS\system32\svchost.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000)
D:\WINDOWS\system32\kernel32.dll (0x77E60000)
D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000)
D:\WINDOWS\system32\RPCRT4.dll (0x78000000)
d:\windows\system32\rpcss.dll (0x75850000)
D:\WINDOWS\system32\msvcrt.dll (0x77C10000)
d:\windows\system32\WS2_32.dll (0x71AB0000)
d:\windows\system32\WS2HELP.dll (0x71AA0000)
D:\WINDOWS\system32\USER32.dll (0x77D40000)
D:\WINDOWS\system32\GDI32.dll (0x77C70000)
d:\windows\system32\Secur32.dll (0x76F90000)
D:\WINDOWS\system32\userenv.dll (0x75A70000)
D:\WINDOWS\system32\mswsock.dll (0x71A50000)
D:\WINDOWS\System32\wshtcpip.dll (0x71A90000)
D:\WINDOWS\system32\DNSAPI.dll (0x76F20000)
D:\WINDOWS\system32\iphlpapi.dll (0x76D60000)
D:\WINDOWS\System32\winrnr.dll (0x76FB0000)
D:\WINDOWS\system32\WLDAP32.dll (0x76F60000)
D:\WINDOWS\system32\rasadhlp.dll (0x76FC0000)
D:\WINDOWS\system32\CLBCATQ.DLL (0x76FD0000)
D:\WINDOWS\system32\ole32.dll (0x771B0000)
D:\WINDOWS\system32\OLEAUT32.dll (0x77120000)
D:\WINDOWS\system32\COMRes.dll (0x77050000)
D:\WINDOWS\system32\VERSION.dll (0x77C00000)
======================================================

Process ID: 1092 (svchost.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: AudioSrv
Display Name: Windows Audio
Service Type: shares a process with other services

Service Name: BITS
Display Name: Background Intelligent Transfer Service
Service Type: shares a process with other services

Service Name: CryptSvc
Display Name: Cryptographic Services
Service Type: shares a process with other services

Service Name: Dhcp
Display Name: DHCP Client
Service Type: shares a process with other services

Service Name: dmserver
Display Name: Logical Disk Manager
Service Type: shares a process with other services

Service Name: ERSvc
Display Name: Error Reporting Service
Service Type: shares a process with other services

Service Name: EventSystem
Display Name: COM+ Event System
Service Type: shares a process with other services

Service Name: helpsvc
Display Name: Help and Support
Service Type: shares a process with other services

Service Name: lanmanserver
Display Name: Server
Service Type: shares a process with other services

Service Name: lanmanworkstation
Display Name: Workstation
Service Type: shares a process with other services

Service Name: Messenger
Display Name: Messenger
Service Type: shares a process with other services

Service Name: Netman
Display Name: Network Connections

Service Name: Nla
Display Name: Network Location Awareness (NLA)
Service Type: shares a process with other services

Service Name: RasMan
Display Name: Remote Access Connection Manager
Service Type: shares a process with other services

Service Name: Schedule
Display Name: Task Scheduler

Service Name: seclogon
Display Name: Secondary Logon

Service Name: SENS
Display Name: System Event Notification
Service Type: shares a process with other services

Service Name: SharedAccess
Display Name: Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
Service Type: shares a process with other services

Service Name: ShellHWDetection
Display Name: Shell Hardware Detection
Service Type: shares a process with other services

Service Name: srservice
Display Name: System Restore Service
Service Type: shares a process with other services

Service Name: TapiSrv
Display Name: Telephony
Service Type: shares a process with other services

Service Name: TermService
Display Name: Terminal Services
Service Type: shares a process with other services

Service Name: Themes
Display Name: Themes
Service Type: shares a process with other services

Service Name: TrkWks
Display Name: Distributed Link Tracking Client
Service Type: shares a process with other services

Service Name: W32Time
Display Name: Windows Time
Service Type: shares a process with other services

Service Name: winmgmt
Display Name: Windows Management Instrumentation
Service Type: shares a process with other services

Service Name: wuauserv
Display Name: Automatic Updates
Service Type: shares a process with other services

Service Name: WZCSVC
Display Name: Wireless Zero Configuration
Service Type: shares a process with other services

PIDPortLocal IPState Remote IP:Port
1092TCP 1025 0.0.0.0 LISTENING 0.0.0.0:2064
1092TCP 3002 127.0.0.1 LISTENING 0.0.0.0:49193
1092TCP 3003 127.0.0.1 LISTENING 0.0.0.0:39078
1092UDP 123 169.254.66.8 *:*
1092UDP 123 127.0.0.1 *:*

Port Statistics

TCP mappings: 3
UDP mappings: 2

TCP ports in a LISTENING state: 3 = 100.00%

Loaded modules:
D:\WINDOWS\System32\svchost.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000)
D:\WINDOWS\system32\kernel32.dll (0x77E60000)
D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000)
D:\WINDOWS\system32\RPCRT4.dll (0x78000000)
D:\WINDOWS\system32\ole32.dll (0x771B0000)
D:\WINDOWS\system32\GDI32.dll (0x77C70000)
D:\WINDOWS\system32\USER32.dll (0x77D40000)
d:\windows\system32\shsvcs.dll (0x76BD0000)
D:\WINDOWS\system32\msvcrt.dll (0x77C10000)
D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000)
D:\WINDOWS\system32\shell32.dll (0x773D0000)
D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000)
D:\WINDOWS\system32\comctl32.dll (0x77340000)
D:\WINDOWS\System32\WINSTA.dll (0x76360000)
d:\windows\system32\dhcpcsvc.dll (0x76D80000)
d:\windows\system32\DNSAPI.dll (0x76F20000)
d:\windows\system32\WS2_32.dll (0x71AB0000)
d:\windows\system32\WS2HELP.dll (0x71AA0000)
d:\windows\system32\iphlpapi.dll (0x76D60000)
d:\windows\system32\Secur32.dll (0x76F90000)
D:\WINDOWS\System32\UxTheme.dll (0x5AD70000)
D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000)
d:\windows\system32\wzcsvc.dll (0x70B50000)
d:\windows\system32\rtutils.dll (0x76E80000)
d:\windows\system32\WMI.dll (0x76D30000)
D:\WINDOWS\system32\OLEAUT32.dll (0x77120000)
D:\WINDOWS\system32\CRYPT32.dll (0x762C0000)
D:\WINDOWS\system32\MSASN1.dll (0x762A0000)
d:\windows\system32\WTSAPI32.dll (0x76F50000)
d:\windows\system32\ESENT.dll (0x69710000)
D:\WINDOWS\system32\WLDAP32.dll (0x76F60000)
d:\windows\system32\NETAPI32.dll (0x71C20000)
D:\WINDOWS\system32\mswsock.dll (0x71A50000)
D:\WINDOWS\System32\wshtcpip.dll (0x71A90000)
D:\WINDOWS\System32\rastls.dll (0x555A0000)
D:\WINDOWS\System32\ATL.DLL (0x76B20000)
D:\WINDOWS\System32\CRYPTUI.dll (0x754D0000)
D:\WINDOWS\System32\WINTRUST.dll (0x76C30000)
D:\WINDOWS\system32\IMAGEHLP.dll (0x76C90000)
D:\WINDOWS\system32\WININET.dll (0x76200000)
D:\WINDOWS\System32\MPRAPI.dll (0x76D40000)
D:\WINDOWS\System32\ACTIVEDS.dll (0x76E40000)
D:\WINDOWS\System32\adsldpc.dll (0x76E10000)
D:\WINDOWS\System32\SAMLIB.dll (0x71BF0000)
D:\WINDOWS\System32\SETUPAPI.dll (0x76670000)
D:\WINDOWS\System32\RASAPI32.dll (0x76EE0000)
D:\WINDOWS\System32\rasman.dll (0x76E90000)
D:\WINDOWS\System32\TAPI32.dll (0x76EB0000)
D:\WINDOWS\System32\WINMM.dll (0x76B40000)
D:\WINDOWS\System32\SCHANNEL.dll (0x767F0000)
D:\WINDOWS\system32\USERENV.dll (0x75A70000)
D:\WINDOWS\System32\WinSCard.dll (0x723D0000)
D:\WINDOWS\System32\raschap.dll (0x70AF0000)
D:\WINDOWS\system32\msv1_0.dll (0x76D10000)
D:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000)
D:\WINDOWS\System32\COMRes.dll (0x77050000)
D:\WINDOWS\system32\VERSION.dll (0x77C00000)
d:\windows\system32\schedsvc.dll (0x751D0000)
d:\windows\system32\NTDSAPI.dll (0x767A0000)
D:\WINDOWS\System32\MSIDLE.DLL (0x74F50000)
D:\WINDOWS\System32\NTMARTA.DLL (0x76CE0000)
d:\windows\system32\audiosrv.dll (0x708B0000)
d:\windows\system32\wkssvc.dll (0x75170000)
d:\windows\system32\cryptsvc.dll (0x74FA0000)
d:\windows\system32\certcli.dll (0x75350000)
d:\windows\pchealth\helpctr\binaries\pchsvc.dll (0x74F40000)
d:\windows\system32\es.dll (0x76B70000)
d:\windows\system32\ersvc.dll (0x74F80000)
d:\windows\system32\dmserver.dll (0x74F90000)
d:\windows\system32\srvsvc.dll (0x75090000)
d:\windows\system32\msgsvc.dll (0x74F60000)
d:\windows\system32\netman.dll (0x76DE0000)
d:\windows\system32\seclogon.dll (0x73D20000)
d:\windows\system32\sens.dll (0x722D0000)
d:\windows\system32\srsvc.dll (0x751A0000)
d:\windows\system32\POWRPROF.dll (0x74AD0000)
d:\windows\system32\tapisrv.dll (0x733E0000)
d:\windows\system32\PSAPI.DLL (0x76BF0000)
d:\windows\system32\trkwks.dll (0x75070000)
d:\windows\system32\w32time.dll (0x767C0000)
d:\windows\system32\MSVCP60.dll (0x55900000)
d:\windows\system32\wbem\wmisvc.dll (0x597A0000)
d:\windows\system32\wbem\wbemcomn.dll (0x75290000)
D:\WINDOWS\System32\VSSAPI.DLL (0x753E0000)
d:\windows\system32\wuauserv.dll (0x74EC0000)
D:\WINDOWS\System32\wuaueng.dll (0x01B20000)
D:\WINDOWS\System32\ADVPACK.dll (0x75260000)
D:\WINDOWS\System32\sfc.dll (0x76BB0000)
D:\WINDOWS\System32\sfc_os.dll (0x76C60000)
d:\windows\system32\rasmans.dll (0x72480000)
d:\windows\system32\WINIPSEC.DLL (0x74370000)
d:\windows\system32\netcfgx.dll (0x755F0000)
d:\windows\system32\CLUSAPI.dll (0x55560000)
d:\windows\system32\browser.dll (0x74FE0000)
D:\WINDOWS\System32\winspool.drv (0x73000000)
D:\WINDOWS\System32\rastapi.dll (0x72060000)
D:\WINDOWS\System32\SXS.DLL (0x75E90000)
D:\WINDOWS\system32\comsvcs.dll (0x75730000)
D:\WINDOWS\system32\MTXCLU.DLL (0x750F0000)
D:\WINDOWS\system32\WSOCK32.dll (0x71AD0000)
D:\WINDOWS\system32\colbact.DLL (0x75130000)
D:\WINDOWS\System32\RESUTILS.DLL (0x750B0000)
D:\WINDOWS\System32\mtxoci.dll (0x750D0000)
D:\WINDOWS\System32\unimdm.tsp (0x57CC0000)
D:\WINDOWS\System32\uniplat.dll (0x72000000)
D:\WINDOWS\System32\kmddsp.tsp (0x57D40000)
D:\WINDOWS\System32\ndptsp.tsp (0x57D20000)
D:\WINDOWS\System32\ipconf.tsp (0x57D50000)
D:\WINDOWS\System32\h323.tsp (0x57D70000)
D:\WINDOWS\System32\hidphone.tsp (0x57D60000)
D:\WINDOWS\System32\HID.DLL (0x688F0000)
D:\WINDOWS\System32\rasppp.dll (0x72240000)
D:\WINDOWS\System32\ntlsapi.dll (0x724B0000)
d:\windows\system32\ipnathlp.dll (0x66460000)
d:\windows\system32\netshell.dll (0x75CF0000)
d:\windows\system32\credui.dll (0x76C00000)
d:\windows\system32\HNetCfg.dll (0x68880000)
D:\WINDOWS\System32\rasadhlp.dll (0x76FC0000)
D:\WINDOWS\System32\Wbem\wbemcore.dll (0x75450000)
D:\WINDOWS\System32\Wbem\esscli.dll (0x75310000)
D:\WINDOWS\System32\Wbem\FastProx.dll (0x75690000)
D:\WINDOWS\System32\wbem\wmiutils.dll (0x75020000)
D:\WINDOWS\System32\wbem\repdrvfs.dll (0x75200000)
D:\WINDOWS\System32\wbem\wmiprvsd.dll (0x597F0000)
D:\WINDOWS\System32\NCObjAPI.DLL (0x5F770000)
D:\WINDOWS\System32\wbem\wbemess.dll (0x75390000)
D:\WINDOWS\System32\winhttp.dll (0x76080000)
d:\windows\system32\termsrv.dll (0x752D0000)
d:\windows\system32\ICAAPI.dll (0x74F70000)
d:\windows\system32\AUTHZ.dll (0x76CC0000)
d:\windows\system32\mstlsapi.dll (0x75110000)
D:\WINDOWS\System32\REGAPI.dll (0x76BC0000)
D:\WINDOWS\System32\wbem\ncprov.dll (0x5F740000)
D:\WINDOWS\System32\catsrvut.dll (0x6FB10000)
D:\WINDOWS\System32\MfcSubs.dll (0x61990000)
D:\WINDOWS\system32\MPR.dll (0x71B20000)
D:\WINDOWS\System32\msi.dll (0x76400000)
D:\WINDOWS\System32\Cabinet.dll (0x75150000)
D:\WINDOWS\system32\urlmon.dll (0x1A400000)
D:\WINDOWS\System32\catsrv.dll (0x6FBD0000)
D:\WINDOWS\System32\upnp.dll (0x555F0000)
D:\WINDOWS\System32\SSDPAPI.dll (0x74F00000)
D:\WINDOWS\System32\RASDLG.dll (0x75550000)
d:\windows\system32\qmgr.dll (0x5DDD0000)
d:\windows\system32\SHFOLDER.dll (0x76780000)
D:\WINDOWS\System32\qmgrprxy.dll (0x5DDC0000)
D:\WINDOWS\System32\sensapi.dll (0x722B0000)
D:\WINDOWS\System32\winrnr.dll (0x76FB0000)
D:\WINDOWS\System32\wbem\wbemsvc.dll (0x74ED0000)
D:\WINDOWS\System32\actxprxy.dll (0x71D40000)
D:\WINDOWS\System32\wbem\wbemcons.dll (0x73D30000)

Poiché i sistemi Windows 2000 non supportano i mapping porta-in-process, il file di registro iniziale PR conterrà la seguente riga:
Porta per il mapping di processo non sono disponibili nel sistema.
Torna all'inizio

Il file di registro PR-porte

Il file di registro porte PR contiene i dati riepilogativi sulle attività delle porte TCP e UDP del computer. I dati sono elencati utilizzando un formato delimitato da virgole (csv) come segue:
Data, ora, protocollo, porta locale, indirizzo IP locale, porta remota, indirizzo IP remoto, PID, modulo, il contesto utente
Nei computer basati su Windows 2000 che non supportano i mapping porta-in-process, il servizio Port Reporter Elenca i dati utilizzando il formato seguente:
Data, ora, protocollo, porta locale, indirizzo IP locale, porta remota, indirizzo IP remoto
Di seguito è un esempio del contenuto di un file di registro PR-porte:
Port Reporter Version 1.0 Log File - Port usage log
Check PR-PIDS-04-01-24-8-49-30.log for corresponding process data

Log format:
date,time,protocol,local port,local IP address,remote port,remote IP address,PID,module,user context

04/1/24,8:52:21,TCP,4873,0.0.0.0,45070,0.0.0.0,664,iexplore.exe,<MYDOMAIN\user>
04/1/24,8:52:21,TCP,4873,169.254.66.8,80,63.208.107.43,664,iexplore.exe,<MYDOMAIN\user>
04/1/24,8:52:22,UDP,55441,169.254.66.8,*,*,3764,msmsgs.exe,<MYDOMAIN\user>
04/1/24,8:52:41,TCP,4874,0.0.0.0,4225,0.0.0.0,664,iexplore.exe,<MYDOMAIN\user>
04/1/24,8:52:41,TCP,4874,169.254.66.8,80,216.74.132.12,664,iexplore.exe,<MYDOMAIN\user>
4/1/24,21:36:2,TCP,2682,169.254.66.8,445,169.254.133.55,4,System,
04/1/24,21:51:2,TCP,2684,0.0.0.0,12390,0.0.0.0,4,System,
04/1/24,21:51:2,TCP,2684,169.254.66.8,445,169.254.133.55,4,System,
04/1/24,22:03:15,UDP,2686,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:03:15,UDP,2687,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:03:43,UDP,2688,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:04:9,TCP,2690,169.254.66.8,389,169.254.133.55,0,System Idle,
04/1/24,22:04:35,TCP,2691,0.0.0.0,18644,0.0.0.0,1260,svchost.exe
04/1/24,22:04:36,TCP,2691,169.254.66.8,80,169.254.133.55,1260,svchost.exe
04/1/24,22:04:36,UDP,2692,127.0.0.1,*,*,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE>
04/1/24,22:04:37,TCP,2693,0.0.0.0,2160,0.0.0.0,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE>
04/1/24,22:04:40,TCP,2693,169.254.66.8,80,169.254.133.55,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE>
04/1/24,22:05:2,UDP,2697,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:06:2,TCP,2698,0.0.0.0,12390,0.0.0.0,4,System,
04/1/24,22:06:2,TCP,2698,169.254.66.8,445,169.254.133.55,4,System,
04/1/24,22:06:46,UDP,2700,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:06:47,UDP,2701,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:06:47,UDP,2702,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>

Possono essere presenti voci nel file di registro PR-porte che è simile al seguente:
04/1/24,22:06:2,TCP,2698,0.0.0.0,12390,0.0.0.0,4,System,
In questo caso, il contesto dell'utente è manca. Queste voci indicano che il servizio Port Reporter non può determinare l'account utente che il processo è associato. È previsto l'output viene generato per il processo di sistema e per il processo di inattività del sistema. Quando si esamina il contenuto del file di registro PR-porte per le porte o per i processi, notare l'indicatore di data e ora di voci che si desidera analizzare più. È possibile trovare ulteriori dettagli su una voce nel file di registro PR-porte quando si trova la voce corrispondente nel file di registro PR-PID. A tale scopo, attenersi alla seguente procedura:
  1. Avviare Blocco note e quindi aprire il file di registro PR-PID.
  2. Dal menu Modifica , fare clic su
    Trovare.
  3. Nella casella Trova digitare la data e il timestamp della voce nel file di registro PR-porte che si desidera trovare ulteriori informazioni su e quindi fare clic su Trova successivo.

Torna all'inizio

Il file di registro PID di PR

Il file di registro PR-PID contiene informazioni dettagliate sulle porte, i processi, i moduli correlati e viene utilizzato per eseguire l'account utente del processo. Di seguito è un esempio del contenuto di un file di registro PID-PR:
Port Reporter Version 1.0 Log File
Process detail log

System Date: Sat Jan 24 08:49:31 2004


Local computer name:

<ComputerName>


======================================================

Log entry below recorded at: <Date and Time>

======================================================

Process ID: 664 (iexplore.exe)

User context: MYDOMAIN\user

Process doesn't appear to be a service

PIDPortLocal IPState Remote IP:Port
664TCP 4867 0.0.0.0 LISTENING 0.0.0.0:4225
664TCP 4873 0.0.0.0 LISTENING 0.0.0.0:45070
664TCP 4867 169.254.66.8 ESTABLISHED 169.254.44.12:80
664TCP 4873 169.254.66.8 SYN SENT 169.254.44.12:80
664UDP 4817 127.0.0.1 *:*

Port Statistics

TCP mappings: 4
UDP mappings: 1

TCP ports in a LISTENING state: 2 = 50.00%
TCP ports in a SYN SENT state: 1 = 25.00%
TCP ports in a ESTABLISHED state: 1 = 25.00%

Loaded modules:
D:\Program Files\Internet Explorer\iexplore.exe (0x00400000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000)
D:\WINDOWS\system32\kernel32.dll (0x77E60000)
D:\WINDOWS\system32\msvcrt.dll (0x77C10000)
D:\WINDOWS\system32\USER32.dll (0x77D40000)
D:\WINDOWS\system32\GDI32.dll (0x77C70000)
D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000)
D:\WINDOWS\system32\RPCRT4.dll (0x78000000)
D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000)
D:\WINDOWS\System32\SHDOCVW.dll (0x71700000)
D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000)
D:\WINDOWS\system32\SHELL32.dll (0x773D0000)
D:\WINDOWS\system32\comctl32.dll (0x77340000)
D:\WINDOWS\system32\ole32.dll (0x771B0000)
D:\WINDOWS\System32\uxtheme.dll (0x5AD70000)
D:\WINDOWS\System32\BROWSEUI.dll (0x75F80000)
D:\WINDOWS\System32\browselc.dll (0x72430000)
D:\WINDOWS\system32\appHelp.dll (0x75F40000)
D:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000)
D:\WINDOWS\system32\OLEAUT32.dll (0x77120000)
D:\WINDOWS\System32\COMRes.dll (0x77050000)
D:\WINDOWS\system32\VERSION.dll (0x77C00000)
D:\WINDOWS\system32\WININET.dll (0x76200000)
D:\WINDOWS\system32\CRYPT32.dll (0x762C0000)
D:\WINDOWS\system32\MSASN1.dll (0x762A0000)
D:\WINDOWS\System32\Secur32.dll (0x76F90000)
D:\WINDOWS\System32\cscui.dll (0x76620000)
D:\WINDOWS\System32\CSCDLL.dll (0x76600000)
D:\WINDOWS\System32\SETUPAPI.dll (0x76670000)
D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (0x10000000)
D:\Program Files\Microsoft\Rights Management Add-on\mime_filter.dll (0x5F200000)
D:\WINDOWS\System32\SXS.DLL (0x75E90000)
D:\WINDOWS\system32\urlmon.dll (0x1A400000)
D:\WINDOWS\System32\shdoclc.dll (0x00DE0000)
D:\WINDOWS\System32\mlang.dll (0x74770000)
D:\WINDOWS\System32\wsock32.dll (0x71AD0000)
D:\WINDOWS\System32\WS2_32.dll (0x71AB0000)
D:\WINDOWS\System32\WS2HELP.dll (0x71AA0000)
D:\WINDOWS\system32\mswsock.dll (0x71A50000)
D:\WINDOWS\System32\wshtcpip.dll (0x71A90000)
D:\WINDOWS\System32\RASAPI32.DLL (0x76EE0000)
D:\WINDOWS\System32\rasman.dll (0x76E90000)
D:\WINDOWS\System32\NETAPI32.dll (0x71C20000)
D:\WINDOWS\System32\TAPI32.dll (0x76EB0000)
D:\WINDOWS\System32\rtutils.dll (0x76E80000)
D:\WINDOWS\System32\WINMM.dll (0x76B40000)
D:\WINDOWS\System32\sensapi.dll (0x722B0000)
D:\WINDOWS\system32\USERENV.dll (0x75A70000)
D:\WINDOWS\System32\msi.dll (0x01370000)
D:\WINDOWS\System32\DNSAPI.dll (0x76F20000)
D:\WINDOWS\System32\winrnr.dll (0x76FB0000)
D:\WINDOWS\system32\WLDAP32.dll (0x76F60000)
D:\WINDOWS\System32\rasadhlp.dll (0x76FC0000)
D:\WINDOWS\System32\mshtml.dll (0x63580000)
D:\WINDOWS\System32\IMM32.DLL (0x76390000)
D:\Program Files\Microsoft Office\Office10\msohev.dll (0x32520000)
D:\WINDOWS\System32\jscript.dll (0x6B700000)
D:\WINDOWS\System32\dxtrans.dll (0x6BDD0000)
D:\WINDOWS\System32\ATL.DLL (0x76B20000)
D:\WINDOWS\System32\ddrawex.dll (0x65000000)
D:\WINDOWS\System32\DDRAW.dll (0x51000000)
D:\WINDOWS\System32\DCIMAN32.dll (0x73BC0000)
D:\WINDOWS\System32\dxtmsft.dll (0x6BE10000)
D:\WINDOWS\System32\MSLS31.DLL (0x746C0000)
D:\WINDOWS\System32\WINSPOOL.DRV (0x73000000)
D:\WINDOWS\System32\wdmaud.drv (0x72D20000)
D:\WINDOWS\System32\msacm32.drv (0x72D10000)
D:\WINDOWS\System32\MSACM32.dll (0x77BE0000)
D:\WINDOWS\System32\midimap.dll (0x77BD0000)
D:\WINDOWS\System32\msxml3.dll (0x72E00000)
D:\WINDOWS\System32\vbscript.dll (0x73300000)
D:\WINDOWS\System32\IMGUTIL.DLL (0x66880000)
D:\WINDOWS\System32\pngfilt.dll (0x5E310000)
D:\WINDOWS\System32\wmp.dll (0x07680000)
D:\WINDOWS\System32\MSVFW32.dll (0x73BD0000)
D:\WINDOWS\System32\wmploc.dll (0x08110000)
D:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll (0x6D440000)
D:\WINDOWS\System32\OLEPRO32.DLL (0x5EDD0000)
D:\Program Files\Java\j2re1.4.2\bin\jpiexp32.dll (0x6D310000)
D:\Program Files\Java\j2re1.4.2\bin\jpishare.dll (0x6D380000)
D:\PROGRA~1\Java\J2RE14~1.2\bin\client\jvm.dll (0x04F20000)
D:\PROGRA~1\Java\J2RE14~1.2\bin\hpi.dll (0x02FE0000)
D:\PROGRA~1\Java\J2RE14~1.2\bin\verify.dll (0x05070000)
D:\PROGRA~1\Java\J2RE14~1.2\bin\java.dll (0x05080000)
D:\PROGRA~1\Java\J2RE14~1.2\bin\zip.dll (0x050A0000)
D:\Program Files\Java\j2re1.4.2\bin\awt.dll (0x083E0000)
D:\Program Files\Java\j2re1.4.2\bin\fontmanager.dll (0x075F0000)
D:\WINDOWS\System32\D3DIM700.DLL (0x5C000000)
D:\Program Files\Java\j2re1.4.2\bin\jpicom32.dll (0x6D2F0000)
D:\Program Files\Java\j2re1.4.2\bin\net.dll (0x07660000)
D:\WINDOWS\System32\wintrust.dll (0x76C30000)
D:\WINDOWS\system32\IMAGEHLP.dll (0x76C90000)
D:\WINDOWS\System32\schannel.dll (0x767F0000)
D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000)
D:\WINDOWS\System32\dssenh.dll (0x0FFA0000)
D:\WINDOWS\System32\wmvcore.dll (0x09270000)
D:\WINDOWS\System32\WMASF.DLL (0x09470000)
D:\WINDOWS\System32\actxprxy.dll (0x71D40000)
D:\WINDOWS\System32\dispex.dll (0x6CC60000)
D:\WINDOWS\System32\mshtmled.dll (0x74CB0000)
D:\WINDOWS\System32\wmnetmgr.dll (0x09D90000)
D:\WINDOWS\system32\msv1_0.dll (0x76D10000)
D:\WINDOWS\system32\wdigest.dll (0x74380000)
D:\WINDOWS\System32\winhttp.dll (0x76080000)
D:\WINDOWS\System32\MPRAPI.dll (0x76D40000)
D:\WINDOWS\System32\ACTIVEDS.dll (0x76E40000)
D:\WINDOWS\System32\adsldpc.dll (0x76E10000)
D:\WINDOWS\System32\SAMLIB.dll (0x71BF0000)
D:\WINDOWS\System32\iphlpapi.dll (0x76D60000)
D:\WINDOWS\System32\netman.dll (0x76DE0000)
D:\WINDOWS\System32\WZCSvc.DLL (0x70B50000)
D:\WINDOWS\System32\WMI.dll (0x76D30000)
D:\WINDOWS\System32\DHCPCSVC.DLL (0x76D80000)
D:\WINDOWS\System32\WTSAPI32.dll (0x76F50000)
D:\WINDOWS\System32\WINSTA.dll (0x76360000)
D:\WINDOWS\System32\ESENT.dll (0x69710000)
D:\WINDOWS\System32\hnetcfg.dll (0x68880000)
D:\WINDOWS\System32\netshell.dll (0x75CF0000)
D:\WINDOWS\System32\credui.dll (0x76C00000)
D:\WINDOWS\System32\wbem\wbemprox.dll (0x74EF0000)
D:\WINDOWS\System32\wbem\wbemcomn.dll (0x75290000)
D:\WINDOWS\System32\wbem\wbemsvc.dll (0x74ED0000)
D:\WINDOWS\System32\wbem\fastprox.dll (0x75690000)
D:\WINDOWS\System32\quartz.dll (0x35500000)
D:\WINDOWS\System32\msdmo.dll (0x0ADF0000)
D:\WINDOWS\System32\wmadmod.dll (0x0AE00000)
D:\WINDOWS\System32\devenum.dll (0x35680000)
D:\WINDOWS\System32\DSOUND.DLL (0x51080000)
D:\WINDOWS\System32\KsUser.dll (0x5EF80000)

======================================================

Log entry below recorded at: <Date and Time>
======================================================

Process ID: 3764 (msmsgs.exe)

User context: MYDOMAIN\user

Process doesn't appear to be a service

PIDPortLocal IPState Remote IP:Port
3764TCP 16521 169.254.66.8 LISTENING 0.0.0.0:45294
3764UDP 4803 0.0.0.0 *:*
3764UDP 9586 169.254.66.8 *:*
3764UDP 55441 169.254.66.8 *:*

Port Statistics

TCP mappings: 1
UDP mappings: 3

TCP ports in a LISTENING state: 1 = 100.00%

Loaded modules:
D:\Program Files\Messenger\msmsgs.exe (0x00400000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000)
D:\WINDOWS\system32\kernel32.dll (0x77E60000)
D:\WINDOWS\system32\ADVAPI32.DLL (0x77DD0000)
D:\WINDOWS\system32\RPCRT4.dll (0x78000000)
D:\WINDOWS\system32\GDI32.DLL (0x77C70000)
D:\WINDOWS\system32\USER32.dll (0x77D40000)
D:\WINDOWS\system32\OLE32.DLL (0x771B0000)
D:\WINDOWS\system32\OLEAUT32.DLL (0x77120000)
D:\WINDOWS\system32\MSVCRT.DLL (0x77C10000)
D:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\COMCTL32.DLL (0x71950000)
D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000)
D:\WINDOWS\system32\SHELL32.DLL (0x773D0000)
D:\WINDOWS\System32\uxtheme.dll (0x5AD70000)
D:\Program Files\Messenger\MSGSLANG.DLL (0x69200000)
D:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000)
D:\WINDOWS\System32\COMRes.dll (0x77050000)
D:\WINDOWS\system32\VERSION.dll (0x77C00000)
D:\WINDOWS\System32\SXS.DLL (0x75E90000)
D:\WINDOWS\System32\wtsapi32.dll (0x76F50000)
D:\WINDOWS\System32\WINSTA.dll (0x76360000)
D:\WINDOWS\System32\es.dll (0x76B70000)
D:\WINDOWS\System32\WS2_32.dll (0x71AB0000)
D:\WINDOWS\System32\WS2HELP.dll (0x71AA0000)
D:\Program Files\Messenger\rtcimsp.dll (0x00F30000)
D:\WINDOWS\System32\WSOCK32.dll (0x71AD0000)
D:\WINDOWS\System32\rtcdll.dll (0x5D370000)
D:\WINDOWS\System32\ATL.DLL (0x76B20000)
D:\WINDOWS\System32\Secur32.dll (0x76F90000)
D:\WINDOWS\system32\WININET.dll (0x76200000)
D:\WINDOWS\system32\CRYPT32.dll (0x762C0000)
D:\WINDOWS\system32\MSASN1.dll (0x762A0000)
D:\WINDOWS\System32\WINMM.dll (0x76B40000)
D:\WINDOWS\System32\iphlpapi.dll (0x76D60000)
D:\WINDOWS\System32\DNSAPI.dll (0x76F20000)
D:\WINDOWS\System32\termmgr.dll (0x5B6F0000)
D:\WINDOWS\System32\rtutils.dll (0x76E80000)
D:\WINDOWS\System32\quartz.dll (0x35500000)
D:\WINDOWS\system32\mswsock.dll (0x71A50000)
D:\WINDOWS\System32\wshtcpip.dll (0x71A90000)
D:\WINDOWS\System32\dxmrtp.dll (0x6BE70000)
D:\WINDOWS\System32\MSVFW32.dll (0x73BD0000)
D:\WINDOWS\System32\DSOUND.dll (0x51080000)
D:\WINDOWS\System32\PSAPI.DLL (0x76BF0000)
D:\WINDOWS\System32\devenum.dll (0x35680000)
D:\WINDOWS\System32\setupapi.dll (0x76670000)
D:\WINDOWS\System32\wdmaud.drv (0x72D20000)
D:\WINDOWS\System32\msacm32.drv (0x72D10000)
D:\WINDOWS\System32\MSACM32.dll (0x77BE0000)
D:\WINDOWS\System32\midimap.dll (0x77BD0000)
D:\WINDOWS\System32\msdmo.dll (0x01450000)
D:\WINDOWS\System32\dpnhupnp.dll (0x018A0000)
D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000)
D:\WINDOWS\System32\rasapi32.dll (0x76EE0000)
D:\WINDOWS\System32\rasman.dll (0x76E90000)
D:\WINDOWS\System32\NETAPI32.dll (0x71C20000)
D:\WINDOWS\System32\TAPI32.dll (0x76EB0000)
D:\WINDOWS\System32\hnetcfg.dll (0x68880000)
D:\WINDOWS\System32\netshell.dll (0x75CF0000)
D:\WINDOWS\System32\credui.dll (0x76C00000)
D:\WINDOWS\System32\DHCPCSVC.DLL (0x76D80000)
D:\WINDOWS\System32\wbem\wbemprox.dll (0x74EF0000)
D:\WINDOWS\System32\wbem\wbemcomn.dll (0x75290000)
D:\WINDOWS\System32\wbem\wbemsvc.dll (0x74ED0000)
D:\WINDOWS\System32\wbem\fastprox.dll (0x75690000)
D:\WINDOWS\System32\netcfgx.dll (0x755F0000)
D:\WINDOWS\System32\CLUSAPI.dll (0x55560000)
D:\WINDOWS\System32\sensapi.dll (0x722B0000)

======================================================

Log entry below recorded at: <Date and Time>
======================================================

Process ID: 2424 (Virtual PC.exe)

User context: MYDOMAIN\user

Process doesn't appear to be a service

PIDPortLocal IPState Remote IP:Port
2424TCP 1262 0.0.0.0 LISTENING 0.0.0.0:2192
2424TCP 1731 0.0.0.0 LISTENING 0.0.0.0:53467
2424TCP 2226 0.0.0.0 LISTENING 0.0.0.0:45214
2424TCP 2229 0.0.0.0 LISTENING 0.0.0.0:2176
2424TCP 4724 0.0.0.0 LISTENING 0.0.0.0:26634
2424TCP 4725 0.0.0.0 LISTENING 0.0.0.0:2172
2424TCP 4726 0.0.0.0 LISTENING 0.0.0.0:39049
2424TCP 4727 0.0.0.0 LISTENING 0.0.0.0:37118
2424TCP 4728 0.0.0.0 LISTENING 0.0.0.0:16491
2424TCP 4729 0.0.0.0 LISTENING 0.0.0.0:20734
2424TCP 4925 0.0.0.0 LISTENING 0.0.0.0:2064
2424TCP 4930 0.0.0.0 LISTENING 0.0.0.0:8249
2424TCP 4931 0.0.0.0 LISTENING 0.0.0.0:61639
2424TCP 4932 0.0.0.0 LISTENING 0.0.0.0:22535
2424TCP 2189 127.0.0.1 LISTENING 0.0.0.0:45095
2424TCP 1262 169.254.66.8 ESTABLISHED 169.254.5.214:1745
2424TCP 1731 169.254.66.8 ESTABLISHED 169.254.4.228:1745
2424TCP 2226 169.254.66.8 ESTABLISHED 157.56.120.30:1745
2424TCP 2229 169.254.66.8 ESTABLISHED 157.56.121.78:1745
2424TCP 4724 169.254.66.8 ESTABLISHED 169.254.4.38:1745
2424TCP 4725 169.254.66.8 ESTABLISHED 169.254.5.105:1745
2424TCP 4726 169.254.66.8 ESTABLISHED 169.254.5.103:1745
2424TCP 4727 169.254.66.8 ESTABLISHED 169.254.4.240:1745
2424TCP 4728 169.254.66.8 ESTABLISHED 169.254.7.23:1745
2424TCP 4729 169.254.66.8 ESTABLISHED 169.254.4.241:1745
2424TCP 4925 169.254.66.8 ESTABLISHED 169.254.121.89:1745
2424TCP 4930 169.254.66.8 ESTABLISHED 169.254.113.92:1745
2424TCP 4931 169.254.66.8 ESTABLISHED 169.254.113.87:1745
2424TCP 4932 169.254.66.8 ESTABLISHED 169.254.121.93:1745
2424UDP 2686 0.0.0.0 *:*
2424UDP 2687 0.0.0.0 *:*

Port Statistics

TCP mappings: 29
UDP mappings: 2

TCP ports in a LISTENING state: 15 = 51.72%
TCP ports in a ESTABLISHED state: 14 = 48.28%

Loaded modules:
C:\Program Files\Microsoft Virtual PC\Virtual PC.exe (0x00400000)

C:\WINDOWS\System32\ntdll.dll (0x77F50000)
C:\WINDOWS\system32\kernel32.dll (0x77E60000)
C:\WINDOWS\System32\DDRAW.dll (0x51000000)
C:\WINDOWS\system32\msvcrt.dll (0x77C10000)
C:\WINDOWS\system32\USER32.dll (0x77D40000)
C:\WINDOWS\system32\GDI32.dll (0x77C70000)
C:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000)
C:\WINDOWS\system32\RPCRT4.dll (0x78000000)
C:\WINDOWS\System32\DCIMAN32.dll (0x73BC0000)
C:\WINDOWS\System32\DINPUT.dll (0x72280000)
C:\WINDOWS\System32\WINMM.dll (0x76B40000)
C:\WINDOWS\System32\iphlpapi.dll (0x76D60000)
C:\WINDOWS\System32\WS2_32.dll (0x71AB0000)
C:\WINDOWS\System32\WS2HELP.dll (0x71AA0000)
C:\WINDOWS\System32\PSAPI.DLL (0x76BF0000)
C:\WINDOWS\system32\comdlg32.dll (0x763B0000)
C:\WINDOWS\system32\SHLWAPI.dll (0x70A70000)
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\COMCTL32.dll (0x71950000)
C:\WINDOWS\system32\SHELL32.dll (0x773D0000)
C:\WINDOWS\System32\WINSPOOL.DRV (0x73000000)
C:\WINDOWS\system32\ole32.dll (0x771B0000)
C:\WINDOWS\system32\OLEAUT32.dll (0x77120000)
C:\WINDOWS\system32\VERSION.dll (0x77C00000)
C:\WINDOWS\System32\OLEACC.dll (0x74C80000)
C:\WINDOWS\System32\MSVCP60.dll (0x55900000)
C:\WINDOWS\System32\uxtheme.dll (0x5AD70000)
C:\WINDOWS\System32\MSCTF.dll (0x74720000)
C:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000)
C:\WINDOWS\System32\COMRes.dll (0x77050000)
C:\WINDOWS\System32\msxml4.dll (0x69B10000)
C:\WINDOWS\System32\LINKINFO.dll (0x76980000)
C:\WINDOWS\System32\ntshrui.dll (0x76990000)
C:\WINDOWS\System32\ATL.DLL (0x76B20000)
C:\WINDOWS\System32\NETAPI32.dll (0x71C20000)
C:\WINDOWS\system32\USERENV.dll (0x75A70000)
C:\Program Files\Microsoft Firewall Client\wspwsp.dll (0x55600000)
C:\WINDOWS\System32\mswsock.dll (0x71A50000)
C:\WINDOWS\System32\DNSAPI.dll (0x76F20000)
C:\WINDOWS\System32\winrnr.dll (0x76FB0000)
C:\WINDOWS\system32\WLDAP32.dll (0x76F60000)
C:\WINDOWS\System32\wshtcpip.dll (0x71A90000)
C:\WINDOWS\System32\rasadhlp.dll (0x76FC0000)
C:\WINDOWS\System32\wdmaud.drv (0x72D20000)
C:\WINDOWS\System32\msacm32.drv (0x72D10000)
C:\WINDOWS\System32\MSACM32.dll (0x77BE0000)
C:\WINDOWS\System32\midimap.dll (0x77BD0000)
C:\WINDOWS\System32\HID.DLL (0x688F0000)
C:\WINDOWS\System32\SETUPAPI.DLL (0x76670000)
C:\Documents and Settings\user\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll (0x10000000)
C:\WINDOWS\System32\mslbui.dll (0x605D0000)
C:\WINDOWS\System32\Secur32.dll (0x76F90000)
C:\WINDOWS\System32\security.dll (0x71F80000)
C:\WINDOWS\system32\msv1_0.dll (0x76D10000)
C:\WINDOWS\system32\appHelp.dll (0x75F40000)
C:\WINDOWS\System32\cscui.dll (0x76620000)
C:\WINDOWS\System32\CSCDLL.dll (0x76600000)
C:\WINDOWS\system32\MPR.dll (0x71B20000)
C:\WINDOWS\System32\ntlanman.dll (0x71C10000)
C:\WINDOWS\System32\NETUI0.dll (0x71CD0000)
C:\WINDOWS\System32\NETUI1.dll (0x71C90000)
C:\WINDOWS\System32\NETRAP.dll (0x71C80000)
C:\WINDOWS\System32\SAMLIB.dll (0x71BF0000)
C:\WINDOWS\System32\drprov.dll (0x75F60000)
C:\WINDOWS\System32\davclnt.dll (0x75F70000)


Il servizio Port Reporter controlla le porte per le modifiche e segnala le modifiche nei file di registro. Le modifiche possono includere un aumento o una diminuzione del numero di connessioni su una porta o una modifica negli Stati di connessione delle connessioni esistenti. Il servizio Port Reporter report quando vengono effettuate nuove connessioni a una porta TCP o chiudere le connessioni esistenti. Il servizio Port Reporter report anche se cambia lo stato di una qualsiasi delle connessioni TCP su una porta. Stati di porta TCP di seguito:
  • CLOSE_WAIT
  • CHIUSO
  • STABILITO
  • FIN_WAIT_1
  • LAST_ACK
  • ASCOLTO
  • SYN_RECEIVED
  • SYN_SEND
  • TIMED_WAIT
Un esempio di una modifica nello stato si verifica quando viene modificata una connessione che utilizza lo stato ESTABLISHED a utilizzare lo stato CLOSE_WAIT. In alcuni casi, il servizio Port Reporter potrebbe segnalare che il processo di inattività del sistema (PID 0) utilizza alcune porte TCP. Questo scenario può verificarsi quando un programma installato nel computer si connette a una porta TCP e quindi si disconnette dalla porta molto rapidamente. La connessione tra il programma e la porta TCP può essere lasciata in uno stato "Tempo di attesa" anche se il programma non è in esecuzione. In questo caso, il servizio Port Reporter potrebbe rilevare che la porta è in uso, ma non è in grado di identificare il programma che utilizza la porta perché il programma non è in esecuzione. La porta può essere in uno stato "Tempo di attesa" per alcuni minuti, anche se il processo che utilizza la porta non è in esecuzione.


Il servizio Port Reporter crea anche una voce di registro all'avvio di un programma installato nel computer utilizzando una nuova porta UDP. Ad esempio, se un programma viene associato alla porta UDP 69, il servizio Port Reporter registra questa azione alle porte di PR e PR PID file di registro. Il servizio Port Reporter non registra i datagrammi UDP inviati alle porte UDP. Il servizio Port Reporter registra solo che la porta UDP è associata e accetta datagrammi. Microsoft consiglia di controllare il registro eventi di sistema e registro eventi dell'applicazione per gli eventi registrati dal servizio Port Reporter. Il servizio Port Reporter registra gli eventi quando il servizio viene avviato, quando il servizio crea file di registro, quando il servizio viene arrestato o quando il servizio rileva un errore. L'origine degli eventi viene registrato come
PortReporter. L'evento ID sono compresi tra 100 e 112.


Poiché i sistemi Windows 2000 non supportano i mapping porta-in-process, il file di registro PR-PID conterrà la seguente riga:
Porta per il mapping di processo non sono disponibili nel sistema.


Torna all'inizio

Ulteriori informazioni

Per visualizzare un WebCast su Port Reporter, fare clic sul seguente articolo della Microsoft Knowledge Base:
Webcast del supporto tecnico 840832 : porta Reporter

Riferimenti

PortQry versione 2.0 è uno strumento correlato. Questo strumento consente di tenere traccia delle attività su una singola porta o su tutte le porte utilizzate da un determinato processo.
Per ulteriori informazioni sulla versione 2.0 di PortQry, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
Nuove caratteristiche e funzionalità in PortQry versione 2.0 832919

Importante Lo strumento PortQueryUI fornisce un'interfaccia utente grafica ed è disponibile per il download. PortQueryUI dispone di numerose funzionalità che rendono l'utilizzo di PortQry. Per ottenere lo strumento PortQueryUI, visitare il seguente sito Web Microsoft:Importante Lo strumento porta Reporter Parser è un parser di registro per i file di registro Port Reporter ed è ora disponibile per il download. Porta Reporter Parser dispone di molte funzionalità avanzate che consentono di analizzare i file di registro Port Reporter. Per ottenere lo strumento porta Reporter Parser, visitare il seguente sito Web Microsoft:Torna all'inizio
Proprietà

ID articolo: 837243 - Ultima revisione: 30 gen 2017 - Revisione: 1

Feedback