Perché il sistema è in ascolto sulla porta 8000?

Ho notato per caso oggi che ho un server web sconosciuto in ascolto sulla porta 8000. L'apertura di http: // localhost: 8000 restituisce solo 404, quindi non ho idea di cosa stia ascoltando lì.

Ho netstat -anoscoperto che il processo con PID 4 è in ascolto su quella porta. PID 4 è il processo di sistema. Perché il mio sistema è in ascolto su quella porta, senza che io effettivamente avvii un server? O come posso scoprire esattamente cosa sta ascoltando lì?

Ho letto le domande correlate sulla porta 80 e sulla porta 443 , ma nessuno dei servizi menzionati era in esecuzione sul mio sistema. E anche gli altri suggerimenti non hanno funzionato.

modificare:

La risposta HTTP del server elenca Microsoft-HTTPAPI/2.0come server.

EDIT2:

Come richiesto da Shadok, ecco le voci di TCPView con 8000 come porta. Ma dubito che sia utile a tutti ...

IIRC, qualsiasi programma che utilizza l' API HTTP Server per eseguire un server HTTP su Windows avrà quel servizio addebitato al processo di sistema perché è in esecuzione attraverso il http.sysserver del kernel .

Potete vedere le URL registrati eseguendo il comando seguente: netsh http show servicestate. Ciò includerà anche il numero di porta.

netstat -ab può anche rivelare quali servizi hanno iniziato ad ascoltare su una determinata porta.

Forse un po 'tardi, ma questa discussione è arrivata piuttosto in alto nella mia ricerca su Google, e mi è sembrata più pertinente anche se mancava quell'ultima informazione che ho trovato utile.

Puoi vedere gli URL (dinamicamente) registrati eseguendo il comando seguente: netsh http show servicestate

Un po 'di googling mostra applicazioni di esempio WCF che utilizzano 8000 e Intel Remote Desktop Interface. Non mi aspetto che funzionino come sistema.

Ci sono alcuni trojan / backdoor che usano 8000, quindi forse avviare un disco antivirus e fare una scansione completa sarebbe una buona idea.

È possibile utilizzare TCPView per scoprire molte più informazioni su questo processo rispetto a ciò che è possibile trovare attraverso netstat.
Se ancora non sai cosa sia davvero l'applicazione dopo che inserisci uno screenshot della linea che menziona la porta 8000 e lo scopriremo per te.

I socket di sistema (PID 4) potrebbero essere http.sys, nel qual caso è possibile utilizzare il comando netsh fornito da PiBa-NL.

Ma nota che ci sono alcuni parametri. Sembra che i valori predefiniti siano equivalenti a:

netsh http show servicestate view=session verbose=yes

La vista delle sessioni non ha aiutato nel mio caso, ma questo ha mostrato il PID:

netsh http show servicestate view=requestq

Nel mio caso, la porta 8000 è stata rilevata dai driver per la scheda audio Sound BlasterX AE-5 . Il processo Creative.AudPosServicesituato in C:\Program Files (x86)\Creative\Connection Servicesta usando questa porta.

Fortunatamente, è possibile cambiare questa porta. Aprire Creative.AudPosService.exe.confige cambiare linea in cui il numero di porta si trova <add baseAddress="http://localhost:8000/"/>a <add baseAddress="http://localhost:9999/"/>o qualsiasi altra cosa che non interferiscono con il tuo lavoro. Riavvia il computer e dovrebbe andare bene.