Наблюдавайте скрити уебсайтове и интернет връзки

Можете да сте доста сигурни, че вашият компютър е свързан със сървъра, хостващ моя уебсайт, докато четете тази статия, но в допълнение към очевидните връзки към сайтовете, отворени във вашия уеб браузър, вашият компютър може да се свързва с цял набор от други сървъри които не се виждат.

През повечето време наистина няма да искате да правите нищо написано в тази статия, тъй като тя изисква разглеждане на много технически неща, но ако смятате, че на компютъра ви има програма, която не трябва да е там, да комуникира тайно в Интернет(Internet) методите по-долу ще ви помогнат да идентифицирате нещо необичайно.

Струва си да се отбележи, че компютър, работещ с операционна система като Windows с няколко инсталирани програми, в крайна сметка ще прави много връзки с външни сървъри по подразбиране. Например, на моята машина с Windows 10 след рестартиране и без стартирани програми, няколко връзки се правят от самия Windows , включително OneDrive , Cortana и дори търсене на работния плот. Прочетете статията ми за осигуряване на Windows 10(securing Windows 10) , за да научите за начините, по които можете да предотвратите комуникацията на Windows 10 със сървърите на Microsoft твърде често.(Microsoft)

Има три начина, по които можете да наблюдавате връзките, които вашият компютър прави с интернет(Internet) : чрез командния ред, с помощта на Resource Monitor или чрез програми на трети страни. Ще спомена командния ред последен, тъй като той е най-техническият и най-труден за дешифриране.

Монитор на ресурсите

Най-лесният начин да проверите всички връзки, които вашият компютър прави, е да използвате Resource Monitor . За да го отворите, трябва да щракнете върху Старт(Start) и след това да въведете  монитор на ресурси(resource monitor) . Ще видите няколко раздела в горната част и този, върху който искаме да щракнем, е Мрежа(Network) .

монитор за ресурси

В този раздел ще видите няколко секции с различни типове данни: процеси с мрежова активност(Processes with Network Activity) , мрежова активност(Network Activity) , TCP връзки( TCP Connections) и слушащи портове( Listening Ports) .

процеси за наблюдение на ресурсите

Всички данни, изброени в тези екрани, се актуализират в реално време. Можете да щракнете върху заглавка във всяка колона, за да сортирате данните във възходящ или низходящ ред. В секцията Процеси с мрежова активност (Processes with Network Activity ) списъкът включва всички процеси, които имат всякакъв вид мрежова активност. Също така ще можете да видите общото количество изпратени и получени данни в байтове в секунда за всеки процес. Ще забележите, че до всеки процес има празно квадратче за отметка, което може да се използва като филтър за всички останали секции.

Например, не бях сигурен какво е nvstreamsvc.exe , затова го проверих и след това погледнах данните в другите секции. Под Мрежова активност(Network Activity) искате да погледнете полето Адрес(Address)  , което трябва да ви даде IP адрес или DNS името на отдалечения сървър.

Монитор на ресурсите на процеса на филтриране

Сама по себе си информацията тук няма непременно да ви помогне да разберете дали нещо е добро или лошо. Трябва да използвате някои уебсайтове на трети страни, за да ви помогнат да идентифицирате процеса. Първо, ако не разпознавате име на процес, продължете и го Google , като използвате пълното име, т.е. nvstreamsvc.exe .

търсене на процес

Винаги щракайте върху поне първите четири до пет връзки и веднага ще получите добра представа дали програмата е безопасна или не. В моя случай беше свързано с услугата за стрийминг на NVIDIA , която е безопасна, но не е нещо, от което имам нужда. (NVIDIA)По-конкретно, процесът е за стрийминг на игри от вашия компютър към NVIDIA Shield , който нямам. За съжаление, когато инсталирате драйвера на NVIDIA , той инсталира много други функции, от които не се нуждаете.

Тъй като тази услуга работи във фонов режим, никога не знаех, че съществува. Не се появи в панела GeForce и затова предположих, че току-що имам инсталиран драйвер. След като разбрах, че нямам нужда от тази услуга, успях да деинсталирам някакъв софтуер на NVIDIA и да се отърва от услугата, която комуникира в мрежата през цялото време, въпреки че никога не я използвах. Така че това е един пример за това как ровенето във всеки процес може да ви помогне не само да идентифицирате възможен зловреден софтуер, но и да премахнете ненужни услуги, които евентуално биха могли да бъдат експлоатирани от хакери.

Второ, трябва да потърсите IP адреса или DNS името, посочени в полето Адрес(Address) . Можете да разгледате инструмент като DomainTools , който ще ви даде необходимата информация. Например, под Мрежова активност(Network Activity) забелязах, че процесът steam.exe се свързва с IP адрес 208.78.164.10. Когато го включих в инструмента, споменат по-горе, бях щастлив да науча, че домейнът се контролира от Valve , която е компанията, която притежава Steam .

whois IP адрес

Ако видите, че IP адрес се свързва със сървър в Китай(China) или Русия(Russia) или някакво друго странно място, може да имате проблем. Търсенето в Google процеса обикновено ще ви отведе до статии за това как да премахнете злонамерения софтуер.

Програми на трети страни

Resource Monitor е страхотен и ви дава много информация, но има и други инструменти, които могат да ви дадат малко повече информация. Двата инструмента, които препоръчвам са TCPView и CurrPorts . И двете изглеждат почти еднакво, с изключение на това, че CurrPorts ви дава много повече данни. Ето екранна снимка на TCPView:

tcpview

Редовете, от които се интересувате най-вече, са тези, които имат състояние (State)ESTABLISHED . Можете да щракнете с десния бутон върху всеки ред, за да прекратите процеса или да затворите връзката. Ето екранна снимка на CurrPorts:

бюлетини

Отново вижте УСТАНОВЕНИ(ESTABLISHED) връзки, когато разглеждате списъка. Както можете да видите от лентата за превъртане в долната част, има много повече колони за всеки процес в CurrPorts . С помощта на тези програми наистина можете да получите много информация.

Командна линия

И накрая, има командния ред. Ще използваме командата netstat , за да ни даде подробна информация за всички текущи мрежови връзки, изведени в TXT файл. Информацията е основно подмножество от това, което получавате от Resource Monitor или програмите на трети страни, така че наистина е полезна само за техничари.

Ето един бърз пример. Първо(First) отворете командния ред на администратора и въведете следната команда:(Administrator)

netstat -abfot 5 > c:\activity.txt

netstat команда

Изчакайте(Wait) около минута или две и след това натиснете CTRL + C на клавиатурата си, за да спрете заснемането. Командата netstat по-горе основно ще улавя всички данни за мрежова връзка на всеки пет секунди и ще ги записва в текстовия файл. Частта – abfot е набор от параметри, за да можем да получим допълнителна информация във файла. Ето какво означава всеки параметър, ако се интересувате.

netstat командна помощ

Когато отворите файла, ще видите почти същата информация, която получихме от другите два метода по-горе: име на процес, протокол, номера на локални и отдалечени портове, отдалечен IP Address/DNS име, състояние на връзката, ID на процес и т.н. .

netstat изход

Отново(Again) , всички тези данни са първа стъпка към определяне дали се случва нещо рибно или не. Ще трябва да потърсите много в Google(Googling) , но това е най-добрият начин да разберете дали някой ви подслушва или злонамерен софтуер изпраща данни от компютъра ви до някакъв отдалечен сървър. Ако имате въпроси, не се колебайте да коментирате. Наслади се!



About the author

Аз съм компютърен професионалист с над 10 години опит. В свободното си време обичам да помагам на бюрото в офиса и да уча децата как да използват интернет. Моите умения включват много неща, но най-важното е, че знам как да помагам на хората да решават проблеми. Ако имате нужда от някой, който може да ви помогне с нещо спешно или просто искате някои основни съвети, моля, свържете се с мен!



Related posts