Możesz być całkiem pewny, że twój komputer jest podłączony do serwera, na którym znajduje się moja strona internetowa, kiedy czytasz ten artykuł, ale oprócz oczywistych połączeń z witrynami otwartymi w twojej przeglądarce, twój komputer może łączyć się z całym szeregiem innych serwerów które nie są widoczne.
Przez większość czasu naprawdę nie będziesz chciał robić niczego napisanego w tym artykule, ponieważ wymaga to spojrzenia na wiele technicznych rzeczy, ale jeśli uważasz, że jest program na twoim komputerze, to nie powinno tam komunikować się potajemnie. w Internecie poniższe metody pomogą ci zidentyfikować coś niezwykłego.
Warto zauważyć, że komputer z systemem operacyjnym, takim jak Windows z kilkoma zainstalowanymi programami, domyślnie będzie generował wiele połączeń z zewnętrznymi serwerami. Na przykład na moim komputerze z systemem Windows 10 po ponownym uruchomieniu i bez uruchomionych programów, kilka połączeń jest wykonywanych przez sam system Windows, w tym OneDrive, Cortana, a nawet na komputerze. Przeczytaj mój artykuł na temat zabezpieczania systemu Windows 10, aby dowiedzieć się, w jaki sposób można zapobiec zbyt częstemu komunikowaniu się systemu Windows 10 z serwerami firmy Microsoft.
Istnieją trzy sposoby monitorowania połączenia, które komputer wykonuje z Internetem: za pomocą wiersza polecenia, za pomocą Monitora zasobów lub za pośrednictwem programów innych firm. Zamierzam wspomnieć o wierszu polecenia jako ostatnie, ponieważ jest to najbardziej techniczny i najtrudniejszy do rozszyfrowania.
Najprostszym sposobem na sprawdzenie wszystkich połączeń, z których korzysta komputer, jest użycie Monitor zasobów. Aby go otworzyć, musisz kliknąć Start, a następnie wpisaćmonitor zasobów. Zobaczysz kilka kart u góry, a my chcemy je kliknąć Sieć.
Na tej karcie zobaczysz kilka sekcji z różnymi typami danych: Procesy z aktywnością sieciową, Aktywność sieciowa, Połączenia TCP i Słuchanie portów.
Wszystkie dane wymienione na tych ekranach są aktualizowane w czasie rzeczywistym. Możesz kliknąć nagłówek w dowolnej kolumnie, aby posortować dane w porządku rosnącym lub malejącym. w Procesy z aktywnością sieciowąsekcja, lista zawiera wszystkie procesy, które mają jakąkolwiek aktywność sieciową. Będziesz także w stanie zobaczyć całkowitą ilość danych wysłanych i odebranych w bajtach na sekundę dla każdego procesu. Zauważ, że obok każdego procesu znajduje się puste pole wyboru, które może być używane jako filtr dla wszystkich pozostałych sekcji.
Na przykład nie byłem pewien co nvstreamsvc.exe było, więc sprawdziłem to, a następnie spojrzałem na dane w innych sekcjach. W obszarze Aktywność sieci chcesz spojrzeć na Adres pole, które powinno podać adres IP lub nazwę DNS zdalnego serwera.
Sama informacja tutaj niekoniecznie pomoże ci ustalić, czy coś jest dobre, czy złe. Musisz użyć stron internetowych stron trzecich, aby pomóc Ci zidentyfikować ten proces. Po pierwsze, jeśli nie rozpoznajesz nazwy procesu, przejdź do Google i użyj pełnej nazwy, np. nvstreamsvc.exe.
Zawsze klikaj co najmniej pierwsze cztery do pięciu linków, aby natychmiast zorientować się, czy program jest bezpieczny, czy nie. W moim przypadku było to związane z usługą przesyłania strumieniowego NVIDIA, która jest bezpieczna, ale nie jest czymś, czego potrzebowałem. W szczególności proces ten dotyczy przesyłania strumieniowego gier z komputera do NVIDIA Shield, których ja nie mam. Niestety, po zainstalowaniu sterownika NVIDIA instaluje wiele innych funkcji, których nie potrzebujesz.
Ponieważ ta usługa działa w tle, nigdy nie wiedziałam, że istnieje. Nie pojawił się w panelu GeForce, więc założyłem, że właśnie zainstalowałem sterownik. Kiedy zdałem sobie sprawę, że nie potrzebuję tej usługi, udało mi się odinstalować niektóre oprogramowanie NVIDIA i pozbyć się usługi, która cały czas komunikuje się w sieci, mimo że nigdy jej nie używałem. To jeden z przykładów tego, jak wnikanie w każdy proces może pomóc nie tylko zidentyfikować możliwe szkodliwe oprogramowanie, ale także usunąć niepotrzebne usługi, które mogą zostać wykorzystane przez hakerów.
Po drugie, należy wyszukać adres IP lub nazwę DNS wymienioną w pliku Adres pole. Możesz sprawdzić narzędzie, takie jak DomainTools, które dostarczy Ci potrzebnych informacji. Na przykład w obszarze Aktywność sieci zauważyłem, że proces steam.exe łączył się z adresem IP 208.78.164.10. Kiedy podłączyłem to narzędzie do wspomnianego powyżej, z przyjemnością dowiedziałem się, że domena jest kontrolowana przez Valve, która jest właścicielem Steam.
Jeśli widzisz, że adres IP łączy się z serwerem w Chinach, Rosji lub w innej dziwnej lokalizacji, możesz mieć problem. Googling procesu zwykle prowadzi do artykułów na temat usuwania złośliwego oprogramowania.
Monitor zasobów jest świetny i daje wiele informacji, ale są też inne narzędzia, które mogą dać ci trochę więcej informacji. Dwa zalecane narzędzia to TCPView i CurrPorts. Oba wyglądają dokładnie tak samo, z tym wyjątkiem, że CurrPorts daje o wiele więcej danych. Oto zrzut ekranu TCPView:
Wiersze, którymi jesteś najbardziej zainteresowany, to te, które mają Stan z USTANOWIONY. Możesz kliknąć prawym przyciskiem myszy dowolny wiersz, aby zakończyć proces lub zamknąć połączenie. Oto zrzut ekranu z CurrPorts:
Ponownie, spójrz na USTANOWIONY połączenia podczas przeglądania listy. Jak widać z paska przewijania u dołu, dla każdego procesu w CurrPorts jest o wiele więcej kolumn. Za pomocą tych programów możesz naprawdę uzyskać wiele informacji.
Na końcu jest wiersz poleceń. Będziemy używać netstat polecenie, aby przekazać nam szczegółowe informacje o wszystkich bieżących połączeniach sieciowych wyprowadzonych do pliku TXT.Informacje są w zasadzie podzbiorem tego, co można uzyskać z Monitora zasobów lub programów innych firm, więc jest to przydatne tylko dla techników.
Oto krótki przykład. Najpierw otwórz wiersz polecenia administratora i wpisz następujące polecenie:
netstat -abfot 5> c: \ activity.txt
Zaczekaj około minuty lub dwóch, a następnie naciśnij CTRL + C na klawiaturze, aby zatrzymać przechwytywanie. Powyższe polecenie netstat w zasadzie przechwytuje wszystkie dane połączenia sieciowego co pięć sekund i zapisuje je w pliku tekstowym. The -abfot część to zestaw parametrów, dzięki czemu możemy uzyskać dodatkowe informacje w pliku. Oto, co oznacza każdy parametr, na wypadek gdybyś był zainteresowany.
Gdy otworzysz plik, zobaczysz prawie te same informacje, które otrzymaliśmy z dwóch poprzednich metod: nazwa procesu, protokół, numery portów lokalnych i zdalnych, zdalny adres IP / nazwa DNS, stan połączenia, identyfikator procesu itp. .
Ponownie, wszystkie te dane są pierwszym krokiem do ustalenia, czy dzieje się coś podejrzanego, czy nie. Będziesz musiał dużo Googlingować, ale to najlepszy sposób, aby dowiedzieć się, czy ktoś Cię szpieguje lub czy złośliwe oprogramowanie wysyła dane z twojego komputera na jakiś zdalny serwer. Jeśli masz jakieś pytania, możesz je skomentować. Cieszyć się!
