Можете да сте доста сигурни, че вашият компютър е свързан със сървъра, хостващ моя уебсайт, докато четете тази статия, но в допълнение към очевидните връзки към сайтовете, отворени във вашия уеб браузър, вашият компютър може да се свързва с цял набор от други сървъри които не се виждат.

През повечето време наистина няма да искате да правите нищо написано в тази статия, тъй като тя изисква разглеждане на много технически неща, но ако смятате, че на компютъра ви има програма, която не трябва да е там, да комуникира тайно в Интернет^(Internet) методите по-долу ще ви помогнат да идентифицирате нещо необичайно.

Струва си да се отбележи, че компютър, работещ с операционна система като Windows с няколко инсталирани програми, в крайна сметка ще прави много връзки с външни сървъри по подразбиране. Например, на моята машина с Windows 10 след рестартиране и без стартирани програми, няколко връзки се правят от самия Windows , включително OneDrive , Cortana и дори търсене на работния плот. Прочетете статията ми за осигуряване на Windows 10^{(securing Windows 10)} , за да научите за начините, по които можете да предотвратите комуникацията на Windows 10 със сървърите на Microsoft твърде често.^(Microsoft)

Има три начина, по които можете да наблюдавате връзките, които вашият компютър прави с интернет^(Internet) : чрез командния ред, с помощта на Resource Monitor или чрез програми на трети страни. Ще спомена командния ред последен, тъй като той е най-техническият и най-труден за дешифриране.

Монитор на ресурсите

Най-лесният начин да проверите всички връзки, които вашият компютър прави, е да използвате Resource Monitor . За да го отворите, трябва да щракнете върху Старт^(Start) и след това да въведете  монитор на ресурси^{(resource monitor)} . Ще видите няколко раздела в горната част и този, върху който искаме да щракнем, е Мрежа^(Network) .

В този раздел ще видите няколко секции с различни типове данни: процеси с мрежова активност^{(Processes with Network Activity)} , мрежова активност^{(Network Activity)} , TCP връзки^{( TCP Connections)} и слушащи портове^{( Listening Ports)} .

Всички данни, изброени в тези екрани, се актуализират в реално време. Можете да щракнете върху заглавка във всяка колона, за да сортирате данните във възходящ или низходящ ред. В секцията Процеси с мрежова активност ^{(Processes with Network Activity )} списъкът включва всички процеси, които имат всякакъв вид мрежова активност. Също така ще можете да видите общото количество изпратени и получени данни в байтове в секунда за всеки процес. Ще забележите, че до всеки процес има празно квадратче за отметка, което може да се използва като филтър за всички останали секции.

Например, не бях сигурен какво е nvstreamsvc.exe , затова го проверих и след това погледнах данните в другите секции. Под Мрежова активност^{(Network Activity)} искате да погледнете полето Адрес^(Address)  , което трябва да ви даде IP адрес или DNS името на отдалечения сървър.

Сама по себе си информацията тук няма непременно да ви помогне да разберете дали нещо е добро или лошо. Трябва да използвате някои уебсайтове на трети страни, за да ви помогнат да идентифицирате процеса. Първо, ако не разпознавате име на процес, продължете и го Google , като използвате пълното име, т.е. nvstreamsvc.exe .

Винаги щракайте върху поне първите четири до пет връзки и веднага ще получите добра представа дали програмата е безопасна или не. В моя случай беше свързано с услугата за стрийминг на NVIDIA , която е безопасна, но не е нещо, от което имам нужда. ^(NVIDIA)По-конкретно, процесът е за стрийминг на игри от вашия компютър към NVIDIA Shield , който нямам. За съжаление, когато инсталирате драйвера на NVIDIA , той инсталира много други функции, от които не се нуждаете.

Тъй като тази услуга работи във фонов режим, никога не знаех, че съществува. Не се появи в панела GeForce и затова предположих, че току-що имам инсталиран драйвер. След като разбрах, че нямам нужда от тази услуга, успях да деинсталирам някакъв софтуер на NVIDIA и да се отърва от услугата, която комуникира в мрежата през цялото време, въпреки че никога не я използвах. Така че това е един пример за това как ровенето във всеки процес може да ви помогне не само да идентифицирате възможен зловреден софтуер, но и да премахнете ненужни услуги, които евентуално биха могли да бъдат експлоатирани от хакери.

Второ, трябва да потърсите IP адреса или DNS името, посочени в полето Адрес^(Address) . Можете да разгледате инструмент като DomainTools , който ще ви даде необходимата информация. Например, под Мрежова активност^{(Network Activity)} забелязах, че процесът steam.exe се свързва с IP адрес 208.78.164.10. Когато го включих в инструмента, споменат по-горе, бях щастлив да науча, че домейнът се контролира от Valve , която е компанията, която притежава Steam .

Ако видите, че IP адрес се свързва със сървър в Китай^(China) или Русия^(Russia) или някакво друго странно място, може да имате проблем. Търсенето в Google процеса обикновено ще ви отведе до статии за това как да премахнете злонамерения софтуер.

Програми на трети страни

Resource Monitor е страхотен и ви дава много информация, но има и други инструменти, които могат да ви дадат малко повече информация. Двата инструмента, които препоръчвам са TCPView и CurrPorts . И двете изглеждат почти еднакво, с изключение на това, че CurrPorts ви дава много повече данни. Ето екранна снимка на TCPView:

Редовете, от които се интересувате най-вече, са тези, които имат състояние ^(State)ESTABLISHED . Можете да щракнете с десния бутон върху всеки ред, за да прекратите процеса или да затворите връзката. Ето екранна снимка на CurrPorts:

Отново вижте УСТАНОВЕНИ^{(ESTABLISHED)} връзки, когато разглеждате списъка. Както можете да видите от лентата за превъртане в долната част, има много повече колони за всеки процес в CurrPorts . С помощта на тези програми наистина можете да получите много информация.

Командна линия

И накрая, има командния ред. Ще използваме командата netstat , за да ни даде подробна информация за всички текущи мрежови връзки, изведени в TXT файл. Информацията е основно подмножество от това, което получавате от Resource Monitor или програмите на трети страни, така че наистина е полезна само за техничари.

Ето един бърз пример. Първо^(First) отворете командния ред на администратора и въведете следната команда:^{(Administrator)}

netstat -abfot 5 > c:\activity.txt

Изчакайте^(Wait) около минута или две и след това натиснете CTRL + C на клавиатурата си, за да спрете заснемането. Командата netstat по-горе основно ще улавя всички данни за мрежова връзка на всеки пет секунди и ще ги записва в текстовия файл. Частта – abfot е набор от параметри, за да можем да получим допълнителна информация във файла. Ето какво означава всеки параметър, ако се интересувате.

Когато отворите файла, ще видите почти същата информация, която получихме от другите два метода по-горе: име на процес, протокол, номера на локални и отдалечени портове, отдалечен IP Address/DNS име, състояние на връзката, ID на процес и т.н. .

Отново^(Again) , всички тези данни са първа стъпка към определяне дали се случва нещо рибно или не. Ще трябва да потърсите много в Google^(Googling) , но това е най-добрият начин да разберете дали някой ви подслушва или злонамерен софтуер изпраща данни от компютъра ви до някакъв отдалечен сървър. Ако имате въпроси, не се колебайте да коментирате. Наслади се!

Monitor Hidden Website and Internet Connections

You can be pretty sure that your computer is connected to the server hosting my website as you reаd thіs аrticle, but in addition to the obvious connections to the sіtes open in your web browser, your computer may be connecting to a whole host оf оther serνers that are not visible.

Most of the time, you’re really not going to want to do anything written in this article since it requires looking at a lot of technical stuff, but if you think there is a program on your computer that shouldn’t be there communicating secretly on the Internet, the methods below will help you identify anything unusual.

It’s worth noting that a computer running an operating system like Windows with a few programs installed will end up making a lot of connections to outside servers by default. For example, on my Windows 10 machine after a reboot and with no programs running, several connections are made by Windows itself, including OneDrive, Cortana and even desktop search. Read my article on securing Windows 10 to learn about ways you can prevent Windows 10 from communicating with Microsoft servers too often.

There are three ways you can go about monitoring the connections that your computer makes to the Internet: via the command prompt, using Resource Monitor or via third-party programs. I’m going to mention the command prompt last since that’s the most technical and hardest to decipher.

Resource Monitor

The easiest way to check out all the connections your computer is making is to use Resource Monitor. To open it, you have to click on Start and then type in resource monitor. You’ll see several tabs across the top and the one we want to click on is Network.

On this tab, you’ll see several sections with different types of data: Processes with Network Activity, Network Activity, TCP Connections and Listening Ports.

All the data listed in these screens are updated in real time. You can click on a header in any column to sort the data in ascending or descending order. In the Processes with Network Activity section, the list includes all the processes that have any kind of network activity. You’ll also be able to see the total amount of data sent and received in bytes per second for each process. You’ll notice there is an empty checkbox next to each process, which can be used as a filter for all the other sections.

For example, I wasn’t sure what nvstreamsvc.exe was, so I checked it and then looked at the data in the other sections. Under Network Activity, you want to look at the Address field, which should give you an IP address or the DNS name of the remote server.

In and of itself, the information here won’t necessarily help you figure out whether something is good or bad. You have to use some third-party websites to help you identify the process. Firstly, if you don’t recognize a process name, go ahead and Google it using the full name, i.e. nvstreamsvc.exe.

Always, click through at least the first four to five links and you’ll instantly get a good idea of whether or not the program is safe or not. In my case, it was related to the NVIDIA streaming service, which is safe, but not something I needed. Specifically, the process is for streaming games from your PC to the NVIDIA Shield, which I don’t have. Unfortunately, when you install the NVIDIA driver, it installs a lot of other features you don’t need.

Since this service run in the background, I never knew it existed. It didn’t show up in the GeForce panel and so I assumed I just had the driver installed. Once I realized I didn’t need this service, I was able to uninstall some NVIDIA software and get rid of the service, which was communicating on the network all the time, even though I never used it. So that’s one example of how digging into each process can help you not only identify possible malware, but also remove unnecessary services that could possibly be exploited by hackers.

Secondly, you should look up the IP address or DNS name listed in the Address field. You can check out a tool like DomainTools, which will give you the information you need. For example, under Network Activity, I noticed that the steam.exe process was connecting to IP address 208.78.164.10. When I plugged that into the tool mentioned above, I was happy to learn that the domain is controlled by Valve, which is the company that owns Steam.

If you see an IP address is connecting to a server in China or Russia or some other strange location, you might have a problem. Googling the process will normally lead you to articles on how to remove the malicious software.

Third Party Programs

Resource Monitor is great and gives you a lot of info, but there are other tools that can give you a little bit more information. The two tools that I recommend are TCPView and CurrPorts. Both pretty much look exactly the same, except that CurrPorts gives you a whole lot more data. Here’s a screenshot of TCPView:

The rows you are mostly interested in are the ones that have a State of ESTABLISHED. You can right-click on any row to end the process or close the connection. Here’s a screenshot of CurrPorts:

Again, look at ESTABLISHED connections when browsing through the list. As you can see from the scrollbar at the bottom, there are many more columns for each process in CurrPorts. You can really get a lot of information using these programs.

Command Line

Finally, there is the command line. We will use the netstat command to give us detailed information about all the current network connections outputted to a TXT file. The information is basically a subset of what you get from Resource Monitor or the third-party programs, so it’s really only useful for techies.

Here’s a quick example. First, open an Administrator command prompt and type in the following command:

netstat -abfot 5 > c:\activity.txt

Wait for about a minute or two and then press CTRL + C on your keyboard to stop the capture. The netstat command above will basically capture all network connection data every five seconds and save it to the text file. The –abfot part is a bunch of parameters so that we can get extra information in the file. Here is what each parameter means, in case you are interested.

When you open the file, you’ll see pretty much the same information that we got from the other two methods above: process name, protocol, local and remote port numbers, remote IP Address/DNS name, connection state, process ID, etc.

Again, all of this data is a first step to determining whether something fishy is going on or not. You’ll have to do a lot of Googling, but it’s the best way to know if someone is snooping on you or if malware is sending data from your computer to some remote server. If you have any questions, feel free to comment. Enjoy!

Related posts

• Кой притежава интернет? Обяснена уеб архитектура

• Как да овърклокнете монитора си, за да получите по-висока честота на опресняване за игри

• Етикет за коментари в интернет, за да подобрите социалното си изживяване

• Преглед на Firefox Monitor: Какво представлява и как защитава вашите данни за влизане

• 7 неща, които трябва да имате предвид, когато сравнявате нови интернет доставчици

• Компютърът ви произволно ли се включва сам?

• Как да отмените достъпа до уебсайтове на трети страни във Facebook, Twitter и Google

• Как да включите или изключите Caps Lock на Chromebook

• Как да се отървете от Yahoo Search в Chrome

• Проверете възрастта на даден уебсайт

• Как да отворите файл без разширение

• Как да използвате VLOOKUP в Google Sheets

• Какво е оптичен интернет и трябва ли да преминете от кабел?

• Как да намерите спомени във Facebook

• Как да използвате спойлерни маркери на Discord

• Какво представлява рейтингът на пътниците на Uber и как да го проверите

• Как да споделяте Wi-Fi мрежови връзки в Windows 11

• Защо бихте искали CRT монитор през 2019 г.?

• Как да настроите интернет у дома си (за начинаещи)

• Как да намерите рождени дни във Facebook