Монитор скрити уеб сайт и интернет връзки
Можете да сте сигурни, че компютърът ви е свързан със сървъра, който хоства уебсайта ми, докато четете тази статия, но в допълнение към очевидните връзки към сайтовете, отворени в уеб браузъра ви, компютърът ви може да се свързва с голям брой други сървъри които не се виждат.
По-голямата част от времето, наистина няма да искате да правите нищо написано в тази статия, тъй като изисква преглед на много технически неща, но ако смятате, че на компютъра ви има програма, която не би трябвало да е в комуникация тайно в интернет, методите по-долу ще ви помогнат да идентифицирате нещо необичайно.
Заслужава да се отбележи, че компютър, работещ под операционна система като Windows с няколко инсталирани програми, ще свърши по подразбиране много връзки с външни сървъри. Например, на моя компютър с Windows 10 след рестартиране и без да се изпълняват програми, няколко връзки са направени от самата Windows, включително OneDrive, Cortana и дори търсенето на десктоп. Прочетете статията ми за защитата на Windows 10, за да научите за начините, по които можете да предотвратите прекалено честото комуникиране на Windows 10 със сървърите на Microsoft.
Има три начина, по които можете да наблюдавате връзките, които вашият компютър прави към Интернет: чрез командния ред, използвайки Монитор на ресурси или чрез програми на трети страни. Ще спомена последната команда, тъй като това е най-техническото и най-трудното за дешифриране.
Монитор на ресурси
Най-лесният начин да проверите всички връзки, които прави компютърът, е да използвате Монитор на ресурси. За да го отворите, трябва да кликнете върху Старт и след това да въведете мониторинг на ресурсите. Ще видите няколко раздела в горната част и тази, която искате да кликнете върху мрежа.
На този раздел ще видите няколко раздела с различни типове данни: Процеси с мрежова активност, Мрежова активност, TCP връзки и Слушащи портове.
Всички данни, изброени в тези екрани, се актуализират в реално време. Можете да кликнете върху заглавие във всяка колона, за да подредите данните във възходящ или низходящ ред. В Процеси с мрежова активност този раздел включва всички процеси, които имат всякакъв вид мрежова активност. Ще можете да видите и общия брой изпратени и получени данни в байтове за секунда за всеки процес. Ще забележите, че до всеки процес има празно квадратче, което може да се използва като филтър за всички останали секции.
Например, не бях сигурен какво nvstreamsvc.exe беше, така че го проверих и след това погледнах данните в другите раздели. В „Мрежова активност“ искате да погледнете адрес поле, което трябва да ви даде IP адрес или DNS името на отдалечения сървър.
Сама по себе си информацията тук не е задължително да ви помогне да разберете дали нещо е добро или лошо. Трябва да използвате някои уебсайтове на трети страни, за да ви помогне да идентифицирате процеса. Първо, ако не разпознаете име на процес, продължете напред и го използвайте с пълното име, т.е.. nvstreamsvc.exe.
Винаги щракнете върху поне първите четири до пет връзки и веднага ще получите добра представа дали програмата е безопасна или не. В моя случай това беше свързано с услугата за поточно предаване на NVIDIA, която е безопасна, но не и нещо, от което се нуждаех. По-конкретно, процесът е за стрийминг на игри от вашия компютър към NVIDIA Shield, което нямам. За съжаление, когато инсталирате NVIDIA драйвера, той инсталира много други функции, от които нямате нужда.
Тъй като тази услуга се изпълнява на заден план, никога не съм знаела, че тя съществува. Не се появи в панела GeForce и затова предположих, че е инсталиран драйверът. Веднъж разбрах, че не се нуждая от тази услуга, успях да деинсталирам някой софтуер на NVIDIA и да се отърва от услугата, която непрекъснато общуваше по мрежата, въпреки че никога не го използвах. Така че това е един пример за това как извличането на всеки процес може да ви помогне не само да идентифицирате възможния зловреден софтуер, но и да премахнете ненужните услуги, които евентуално биха могли да се използват от хакери.
Второ, трябва да потърсите IP адреса или DNS името, изброени в адрес област. Можете да проверите инструмент като DomainTools, който ще ви даде необходимата ви информация. Например, под Network Activity, забелязах, че процесът steam.exe се свързва с IP адрес 208.78.164.10. Когато го включих в споменатия по-горе инструмент, бях щастлив да науча, че домейнът се контролира от Valve, която е собственост на Steam.
Ако видите, че IP адрес се свързва със сървър в Китай или Русия или на някакво друго странно място, може да имате проблем. Обикновено Google ще ви отведе до статии за това как да премахнете злонамерения софтуер.
Програми на трети лица
Мониторът на ресурсите е страхотен и ви дава много информация, но има и други инструменти, които могат да ви дадат малко повече информация. Двата инструмента, които препоръчвам, са TCPView и CurrPorts. И двете изглеждат почти еднакви, но CurrPorts ви дава много повече данни. Ето снимка на TCPView:
Редовете, които най-много ви интересуват, са тези, които имат състояние на СЪЗДАДЕНА. Можете да кликнете с десен бутон на мишката върху всеки ред, за да приключите процеса или да затворите връзката. Ето снимка на CurrPorts:
Отново, погледнете СЪЗДАДЕНА връзки, когато прелиствате списъка. Както можете да видите от лентата за придвижване в долната част, има много повече колони за всеки процес в CurrPorts. Можете наистина да получите много информация, като използвате тези програми.
Командна линия
И накрая, има команден ред. Ще използваме NETSTAT команда, за да ни даде подробна информация за всички текущи мрежови връзки, изведени към TXT файл. Информацията е основно подмножество на това, което получавате от монитора на ресурси или от програмите на трети страни, така че наистина е полезно само за техничари.
Ето един бърз пример. Първо отворете командния ред на администратор и въведете следната команда:
netstat -abfot 5> c: \ t
Изчакайте около минута или две и след това натиснете CTRL + C на клавиатурата, за да спрете заснемането. Командата netstat по-горе ще заснеме всички данни за мрежовата връзка на всеки пет секунди и ще ги запази в текстовия файл. Най- -abfot част е куп параметри, така че можем да получим допълнителна информация във файла. Ето какво означава всеки параметър, в случай, че се интересувате.
Когато отворите файла, ще видите почти същата информация, която получихме от другите два метода по-горе: име на процес, протокол, локални и отдалечени номера на портове, име на отдалечен IP адрес / DNS, състояние на връзката, идентификатор на процес и т.н..
Отново, всички тези данни са първата стъпка за определяне дали нещо рибка се случва или не. Ще трябва да правите много от Google, но това е най-добрият начин да разберете дали някой ви подслушва или злонамерен софтуер изпраща данни от вашия компютър на някакъв отдалечен сървър. Ако имате някакви въпроси, не се колебайте да коментирате. Наслади се!