Możesz być całkiem pewien, że twój komputer jest podłączony do serwera, na którym znajduje się moja strona internetowa, kiedy czytasz ten artykuł, ale oprócz oczywistych połączeń z witrynami otwartymi w twojej przeglądarce, twój komputer może łączyć się z całym hostem innych serwerów, które nie są widoczne.
Przez większość czasu naprawdę nie będziesz chciała robić niczego napisanego w tym artykule, ponieważ wymaga to spojrzenia na wiele technicznych kwestii, ale jeśli myślisz jest program na twoim komputerze, którego nie powinno się tam komunikować potajemnie w Internecie, poniższe metody pomogą ci zidentyfikować coś niezwykłego.
Warto zauważyć, że komputer z systemem operacyjnym takim jak Windows z mało zainstalowanych programów będzie domyślnie wykonywało wiele połączeń z zewnętrznymi serwerami. Na przykład na moim komputerze z systemem Windows 10 po ponownym uruchomieniu i bez uruchomionych programów, kilka połączeń jest wykonywanych przez sam system Windows, w tym OneDrive, Cortana, a nawet na komputerze. Zapoznaj się z artykułem zabezpieczanie systemu Windows 10, aby dowiedzieć się, w jaki sposób można zapobiec zbyt częstemu komunikowaniu się systemu Windows 10 z serwerami firmy Microsoft.
Istnieją trzy sposoby monitorowania połączenia między komputerami do Internetu: za pomocą wiersza polecenia, przy użyciu Monitora zasobów lub programów innych producentów. Zamierzam wspomnieć o wierszu polecenia jako ostatnim, ponieważ jest to najbardziej techniczny i najtrudniejszy do odszyfrowania.
Monitor zasobów
Najłatwiejszy sposób sprawdzenia wszystkich połączeń wykonywanych przez komputer to korzystać z Monitora zasobów. Aby go otworzyć, musisz kliknąć Start, a następnie wpisać monitor zasobów. Zobaczysz kilka kart na górze, a my chcemy kliknąć Sieć.
Włączone na tej karcie zobaczysz kilka sekcji z różnymi typami danych: Procesy z aktywnością sieciową, Aktywność sieciowa, Połączenia TCPi Listening Ports.
Wszystkie dane wymienione na tych ekranach są aktualizowane w czasie rzeczywistym. Możesz kliknąć nagłówek w dowolnej kolumnie, aby posortować dane w porządku rosnącym lub malejącym. W sekcji Procesy z aktywnością sieciowąna liście znajdują się wszystkie procesy mające dowolną aktywność sieciową. Będziesz także w stanie zobaczyć całkowitą ilość danych wysłanych i odebranych w bajtach na sekundę dla każdego procesu. Zauważ, że obok każdego procesu znajduje się puste pole wyboru, które może być używane jako filtr dla wszystkich pozostałych sekcji.
Na przykład nie byłem pewien, co nvstreamsvc.exe było, więc sprawdziłem to, a następnie spojrzałem na dane w innych sekcjach. W obszarze Aktywność sieciowe chcesz spojrzeć na pole Adres, które powinno podać adres IP lub nazwę DNS zdalnego serwera.
Same w sobie informacje tutaj niekoniecznie pomogą ci ustalić, czy coś jest dobre, czy złe. Musisz użyć stron internetowych stron trzecich, aby pomóc Ci zidentyfikować ten proces. Po pierwsze, jeśli nie rozpoznajesz nazwy procesu, przejdź do Google i użyj pełnej nazwy, np. nvstreamsvc.exe.
Zawsze klikaj co najmniej pierwsze cztery do pięciu linków, aby natychmiast zorientować się, czy program jest bezpieczny, czy nie. W moim przypadku było to związane z usługą przesyłania strumieniowego NVIDIA, która jest bezpieczna, ale nie jest czymś, czego potrzebowałem. W szczególności proces ten dotyczy przesyłania strumieniowego gier z komputera do NVIDIA Shield, których ja nie mam. Niestety, po zainstalowaniu sterownika NVIDIA instaluje wiele innych funkcji, których nie potrzebujesz.
Ponieważ ta usługa działa w tle, nigdy nie wiedziałam, że istnieje. Nie pojawił się w panelu GeForce, więc założyłem, że właśnie zainstalowałem sterownik. Kiedy zdałem sobie sprawę, że nie potrzebuję tej usługi, udało mi się odinstalować niektóre oprogramowanie NVIDIA i pozbyć się usługi, która cały czas komunikuje się w sieci, mimo że nigdy jej nie używałem. To jeden z przykładów, w jaki sposób wnikanie w każdy proces może pomóc nie tylko zidentyfikować możliwe szkodliwe oprogramowanie, ale także usunąć niepotrzebne usługi, które mogłyby zostać wykorzystane przez hakerów.
Po drugie, należy wyszukać adres IP lub DNS nazwa wymieniona w polu Adres. Możesz wypróbować takie narzędzie, jak DomainTools, które dostarczy Ci potrzebnych informacji. Na przykład w obszarze Aktywność sieci zauważyłem, że proces steam.exe łączył się z adresem IP 208.78.164.10. Kiedy podłączyłem to narzędzie do wspomnianego powyżej, z przyjemnością dowiedziałem się, że domena jest kontrolowana przez firmę Valve, która jest właścicielem Steama.
Jeśli widzisz, że adres IP łączy się z serwerem w Chinach, Rosji lub w innej dziwnej lokalizacji, możesz mieć problem. Zwiedzanie tego procesu zwykle prowadzi do artykułów o tym, jak usunąć złośliwe oprogramowanie.
Programy innych firm
Monitor zasobów jest świetny i daje wiele informacji, ale są też inne narzędzia, które mogą dać ci trochę więcej informacji. Dwa polecane przeze mnie narzędzia to TCPView i CurrPorts. Oba wyglądają dokładnie tak samo, z tym wyjątkiem, że CurrPorts daje o wiele więcej danych. Oto zrzut ekranu TCPView:
Wiersze, którymi jesteś najbardziej zainteresowany, to te, które mają państwo ESTABLISHED. Możesz kliknąć prawym przyciskiem myszy dowolny wiersz, aby zakończyć proces lub zamknąć połączenie. Oto zrzut ekranu CurrPorts:
Ponownie spójrz na połączenia ESTABLISHEDpodczas przeglądania listy. Jak widać z paska przewijania u dołu, dla każdego procesu w CurrPorts jest o wiele więcej kolumn. Za pomocą tych programów można naprawdę uzyskać wiele informacji.
Wiersz poleceń
Na końcu znajduje się wiersz poleceń. Użyjemy polecenia netstat, aby przekazać nam szczegółowe informacje o wszystkich bieżących połączeniach sieciowych wyprowadzonych do pliku TXT. Informacje są w zasadzie podzbiorem tego, co można uzyskać z Monitora zasobów lub programów innych producentów, więc jest to przydatne tylko dla techników.
Oto krótki przykład. Najpierw otwórz wiersz poleceń administratora i wpisz następujące polecenie:
netstat -abfot 5 > c:\activity.txt
Poczekaj około minuty lub dwóch, a następnie naciśnij CTRL + C na klawiaturze, aby zatrzymać przechwytywanie. Powyższe polecenie netstat w zasadzie przechwytuje wszystkie dane połączenia sieciowego co pięć sekund i zapisuje je w pliku tekstowym. Część - abfotjest zbiorem parametrów, dzięki czemu możemy uzyskać dodatkowe informacje w pliku. Oto, co oznacza każdy parametr, na wypadek gdybyś był zainteresowany.
Gdy otworzysz plik, zobaczysz prawie te same informacje które otrzymaliśmy z dwóch poprzednich metod: nazwa procesu, protokół, numery portów lokalnych i zdalnych, zdalny adres IP / nazwa DNS, stan połączenia, identyfikator procesu, itp.
Ponownie, wszystkie te dane są pierwszym krokiem do ustalenia, czy dzieje się coś podejrzanego. Będziesz musiał dużo Googlingować, ale to najlepszy sposób, aby dowiedzieć się, czy ktoś Cię szpieguje lub czy złośliwe oprogramowanie wysyła dane z twojego komputera na jakiś zdalny serwer. Jeśli masz jakieś pytania, możesz je skomentować. Ciesz się!