网吧网维神器Process Explorer连载教程三:查看进程打开的文件和注册表和各种句柄
查看网吧、电竞酒店系统里某个进程打开了本机端口和连接的远程端口
继续上一章,这回讲讲利用Process Explorer来查看指指定的进程建立的网络连接,连接哪个域名哪个IP。这个操作方法很简单:
表格中每个列的意义如下:
1、Local Address:本机端地址和端口号。
2、Remote Address:远程域名/IP地址和端口号
3、State:连接状态:ESTABLISHED-连接成功,LISTENING-监听中,WAIT-等待
这里顺带讲讲这些值的真正含义,以常见的网吧、电竞酒店无盘系统账号验证功能为例,来看看这种功能的实现逻辑,
首先无盘软件厂商在其服务器上运行着一个他们自己开发的账号验证服务器端程序ServiceA.exe(或者是web网站形式的验证服务https://xxx.xxx/ServiceA)。这些进程会实时监听一个/多个端口。这些端口通常都是固定的,比如指定8001端口。这个就是Remote Address
网吧服务器上无盘系统服务进程/控制台程序运行时会去尝试连接验证服务器上的ServiceA的8001端口,当ServerA根据相关算法认为该进程是合法请求,于是发送同意连接的信息到网吧服务器端进程,这个时候握手成功,握手成功后,网吧服务器会打开一个系统随机分配的本机端口(1-65535间任何一个)用来P2P连接(点对点)(这个网吧服务器相对于厂家的验证服务器来讲,他是客户端ClientA,就是Local Address)然后P2P的方式发送账号,密码给ServiceA,ServiceA在他们的数据库里进行一系列的数据处理,查询账号是否正确,是否过期等,然后返回给网吧服务器。
同时,网吧服务器ClientA进程会根据自己的功能需要会监听本机一个固定端口用来处理网吧客户机游戏菜单、无盘启动等进程的数据通讯,这个时候ClientA相对于网吧客户机来讲又是一个Remote Address。所以每个进程即可以是Remote Address也可以是Local Address。
4、所属服务:如果改进程以服务方式启动,这里会显示进程所属服务!
在你确定/怀疑某个进程会下载广告时,可以查看该进程所连接的远程地址和端口,并通过路由的黑名单功能屏蔽掉改IP或者网址来实现加强网吧安全/去广告的功能。你也可以用来排查是哪个进程加载了广告,然后路由屏蔽达到去广告的功能。