Монітор прихованих веб-сайтів та підключень до Інтернету
Ви можете бути впевнені, що ваш комп'ютер підключено до сервера, на якому розміщений мій веб-сайт, коли ви читаєте цю статтю, але на додаток до очевидних підключень до сайтів, відкритих у веб-переглядачі, ваш комп'ютер може підключатися до цілого ряду інших серверів що не видно.
Більшу частину часу, ви дійсно не збираєтеся робити що-небудь написане в цій статті, оскільки це вимагає дивлячись на багато технічних речей, але якщо ви думаєте, що на вашому комп'ютері є програма, яка не повинна бути там таємно. У Інтернеті нижче описані методи допоможуть вам визначити щось незвичайне.
Варто відзначити, що комп'ютер з операційною системою, такою як Windows, з декількома встановленими програмами в кінцевому підсумку робить багато підключень до зовнішніх серверів за замовчуванням. Наприклад, на моєму комп'ютері під керуванням Windows 10 після перезавантаження і без запуску програм декілька з'єднань здійснюються самою Windows, включаючи OneDrive, Cortana і навіть пошук на робочому столі. Прочитайте мою статтю про захист Windows 10, щоб дізнатися, як можна перешкодити спілкуванню Windows 10 із серверами Microsoft занадто часто.
Існує три способи спостереження за з'єднаннями, які комп'ютер робить з Інтернетом: за допомогою командного рядка, використовуючи монітор ресурсів або за допомогою програм сторонніх виробників. Я згадую командний рядок останнього часу, оскільки це найбільш технічний і найважчий для розшифровки.
Монітор ресурсів
Найпростіший спосіб перевірити всі підключення, які робить комп'ютер, - це використання Монітор ресурсів. Щоб відкрити його, потрібно натиснути кнопку Пуск і ввести монітор ресурсів. Ви побачите декілька вкладок у верхній частині, а також ми хочемо натиснути на неї Мережа.
На цій вкладці ви побачите кілька розділів з різними типами даних: Процеси з мережевою активністю, Мережева активність, TCP-з'єднання і Прослуховування портів.
Всі дані, перераховані на цих екранах, оновлюються в реальному часі. Ви можете натиснути на заголовок у будь-якому стовпці, щоб відсортувати дані у порядку зростання або зменшення. В Процеси з мережевою активністю Перелік включає в себе всі процеси, які мають будь-яку мережеву активність. Ви також зможете побачити загальний обсяг даних, надісланих і отриманих в байтах за секунду для кожного процесу. Ви помітите, що поруч з кожним процесом розташований порожній прапорець, який можна використовувати як фільтр для всіх інших розділів.
Наприклад, я не знав, що nvstreamsvc.exe був, тому я перевірив його, а потім подивився на дані в інших розділах. У розділі Діяльність мережі потрібно переглянути Адреса поле, яке повинно дати вам IP-адресу або ім'я DNS віддаленого сервера.
Сама по собі інформація тут не обов'язково допоможе вам з'ясувати, чи є щось хороше чи погане. Ви повинні використовувати веб-сайти третіх сторін, щоб допомогти визначити процес. По-перше, якщо ви не розпізнаєте ім'я процесу, виконайте його в Google, використовуючи повне ім'я, тобто. nvstreamsvc.exe.
Завжди натискайте, принаймні, на перші чотири-п'ять посилань, і ви негайно отримаєте гарне уявлення про те, чи є програма безпечною чи ні. У моєму випадку це було пов'язано з потоковим сервісом NVIDIA, який є безпечним, але не якимсь необхідним. Зокрема, це процес для потокових ігор з вашого ПК на NVIDIA Shield, яких у мене немає. На жаль, коли ви встановлюєте драйвер NVIDIA, він встановлює багато інших функцій, які вам не потрібні.
Оскільки ця служба працює у фоновому режимі, я ніколи не знала, що вона існує. Він не з'явився на панелі GeForce, і я припустив, що у мене тільки що встановлений драйвер. Після того, як я зрозумів, що мені не потрібен цей сервіс, мені вдалося видалити деяке програмне забезпечення NVIDIA і позбутися служби, яка постійно спілкувалася в мережі, хоча я її ніколи не використовував. Отже, це один із прикладів того, як копання в кожному процесі допоможе вам не тільки виявити можливі шкідливі програми, але й видалити непотрібні служби, які можуть бути використані хакерами.
По-друге, слід шукати IP-адресу або ім'я DNS, зазначене в Адреса поля. Ви можете перевірити інструмент, як DomainTools, який дасть вам необхідну інформацію. Наприклад, під мережевою активністю, я помітив, що процес steam.exe підключався до IP-адреси 208.78.164.10. Коли я підключив його до вищезазначеного інструменту, я був радий дізнатися, що домен контролюється Valve, що є власністю Steam.
Якщо ви бачите, що IP-адреса підключається до сервера в Китаї чи Росії або в іншому дивному місці, у вас може виникнути проблема. Зазвичай Google залучає вас до статей про те, як видалити зловмисне програмне забезпечення.
Програми третіх осіб
Монітор ресурсів великий і дає вам багато інформації, але є й інші інструменти, які можуть дати вам трохи більше інформації. Два інструменти, які я рекомендую, - це TCPView і CurrPorts. Обидва вони виглядають точно так само, за винятком того, що CurrPorts дає вам набагато більше даних. Ось знімок екрана TCPView:
Рядки, в яких ви найбільше зацікавлені, це ті, які мають a Держава з ВСТАНОВЛЕНО. Ви можете клацнути правою кнопкою миші на будь-якому рядку, щоб завершити процес або закрити з'єднання. Ось знімок екрана CurrPorts:
Знову ж таки, подивіться ВСТАНОВЛЕНО під час перегляду списку. Як ви можете бачити на смужці прокрутки внизу, для багатьох процесів у CurrPorts є багато стовпців. Ви дійсно можете отримати багато інформації за допомогою цих програм.
Командний рядок
Нарешті, є командний рядок. Ми скористаємося netstat дає нам детальну інформацію про всі поточні мережні підключення, виведені до файлу TXT. Ця інформація є в основному підмножиною того, що ви отримуєте з Монітора ресурсів або програм сторонніх розробників, так що це дійсно корисно лише для технік.
Ось короткий приклад. Спочатку відкрийте командний рядок адміністратора та введіть таку команду:
netstat -abfot 5> c: \ t
Зачекайте близько хвилини або двох, а потім натисніть клавіші CTRL + C на клавіатурі, щоб зупинити зйомку. Команда netstat вище зафіксує всі дані мережного підключення кожні п'ять секунд і збереже їх у текстовому файлі. The -abfot частина - це купа параметрів, так що ми можемо отримати додаткову інформацію у файлі. Ось що означає кожен параметр, якщо ви зацікавлені.
Коли ви відкриваєте файл, ви побачите ту саму інформацію, що ми отримали від двох інших методів вище: ім'я процесу, протокол, місцеві та віддалені номери портів, ім'я віддаленого IP / DNS, стан з'єднання, ідентифікатор процесу тощо.
Знову ж таки, всі ці дані є першим кроком до визначення того, чи відбувається щось рибне чи ні. Вам доведеться багато робити в Google, але це найкращий спосіб дізнатися, чи хтось перехоплює вас, або якщо зловмисне програмне забезпечення передає дані з вашого комп'ютера на якийсь віддалений сервер. Якщо у Вас виникли питання, не соромтеся коментувати. Насолоджуйтесь!