Monitorujte skryté webové stránky a internetové pripojenia
Môžete si byť istí, že váš počítač je pripojený k serveru, ktorý hosťuje moje webové stránky, keď si prečítate tento článok, ale okrem zjavného pripojenia na stránky otvorené vo vašom webovom prehliadači sa počítač môže pripojiť k celému radu ďalších serverov ktoré nie sú viditeľné.
Väčšinu času, naozaj nebudete chcieť robiť niečo napísané v tomto článku, pretože to vyžaduje pozerať sa na veľa technických vecí, ale ak si myslíte, že existuje program na vašom počítači, ktorý by nemal byť tam komunikovať tajne na internete nižšie uvedené metódy vám pomôžu zistiť niečo nezvyčajné.
Stojí za to poznamenať, že počítač s operačným systémom, ako je Windows s niekoľkými nainštalovanými programami, skončí s predvoleným nastavením mnohých pripojení k externým serverom. Napríklad na stroji Windows 10 po reštarte a bez bežiacich programov je niekoľko pripojení vykonaných samotným systémom Windows, vrátane OneDrive, Cortana a dokonca aj vyhľadávania na pracovnej ploche. Prečítajte si môj článok o zabezpečení systému Windows 10, kde nájdete informácie o spôsoboch, ako môžete brániť systému Windows 10 pri komunikácii so servermi spoločnosti Microsoft príliš často.
Existujú tri spôsoby, ako môžete sledovať pripojenia vášho počítača na Internet: prostredníctvom príkazového riadka pomocou programu Resource Monitor alebo prostredníctvom programov tretích strán. Chcem spomenúť príkazový riadok posledný, pretože to je najschopnejší a najtvrdší rozlúštiť.
Monitorovanie zdrojov
Najjednoduchší spôsob, ako zistiť všetky pripojenia, ktoré váš počítač vytvára, je použiť Monitorovanie zdrojov. Ak ho chcete otvoriť, musíte kliknúť na tlačidlo Štart a potom zadajte sledovanie zdrojov. Uvidíte niekoľko kariet v hornej časti a na ktorej chceme kliknúť sieť.
Na tejto karte sa zobrazujú niekoľko sekcií s rôznymi typmi údajov: Procesy s aktivitou v sieti, Aktivita siete, TCP pripojenia a Počúvanie portov.
Všetky údaje uvedené na týchto obrazovkách sú aktualizované v reálnom čase. Môžete kliknúť na hlavičku v ľubovoľnom stĺpci a zoraďovať údaje vo vzostupnom alebo zostupnom poradí. V Procesy s aktivitou v sieti Táto časť obsahuje všetky procesy, ktoré majú akýkoľvek druh sieťovej aktivity. Budete tiež môcť vidieť celkové množstvo dát odoslaných a prijatých v bajtoch za sekundu pre každý proces. Všimnite si, že vedľa každého procesu je prázdne políčko, ktoré sa môže použiť ako filter pre všetky ostatné sekcie.
Napríklad som si nebol istý, čo nvstreamsvc.exe bolo, preto som to skontroloval a potom som sa pozrel na údaje v ostatných sekciách. V sekcii Aktivita siete sa chcete pozrieť na adresa pole, ktoré by vám malo poskytnúť adresu IP alebo názov DNS vzdialeného servera.
Samotná informácia vám nemusí nevyhnutne pomôcť zistiť, či je niečo dobré alebo zlé. Musíte použiť niektoré webové stránky tretích strán, ktoré vám pomôžu identifikovať proces. Po prvé, ak nerozpoznáte názov procesu, pokračujte a Google používa celé meno, t. nvstreamsvc.exe.
Vždy kliknite na prinajmenšom prvé štyri až päť odkazov a okamžite získate dobrú predstavu o tom, či program je alebo nie je bezpečný alebo nie. V mojom prípade to súviselo so službou streamingu NVIDIA, ktorá je bezpečná, ale nie niečo, čo som potreboval. Konkrétne ide o prehrávanie hier z počítača na štít NVIDIA, ktorý nemám. Bohužiaľ, keď nainštalujete ovládač NVIDIA, nainštaluje mnoho ďalších funkcií, ktoré nepotrebujete.
Keďže táto služba funguje na pozadí, nikdy som nevedela, že existovala. Nezobrazoval sa v paneli GeForce a predpokladal som, že som nainštaloval ovládač. Keď som si uvedomil, že túto službu nepotrebujem, dokázal som odinštalovať nejaký softvér NVIDIA a zbaviť sa služby, ktorá stále komunikovala v sieti, aj keď som ju nikdy nepoužila. Takže to je jeden príklad toho, ako vykopanie do každého procesu vám môže pomôcť nielen identifikovať možný malware, ale tiež odstrániť nepotrebné služby, ktoré by mohli hackeri zneužiť.
Po druhé, mali by ste vyhľadať adresu IP alebo názov DNS uvedený v priečinku adresa lúka. Môžete sa pozrieť na nástroj ako DomainTools, ktorý vám dá informácie, ktoré potrebujete. Napríklad v časti Aktivita siete som si všimol, že proces steam.exe bol pripojený k IP adrese 208.78.164.10. Keď som to zapojil do nástroja uvedeného vyššie, bol som rád, že sa dozviem, že doména je ovládaná spoločnosťou Valve, ktorá je spoločnosťou, ktorá vlastní Steam.
Ak vidíte, že adresa IP sa pripája k serveru v Číne alebo Rusku alebo na nejakom inom zvláštnom mieste, môžete mať problém. Proces Googlu vás zvyčajne vedie k článkom o tom, ako odstrániť škodlivý softvér.
Programy tretích strán
Resource Monitor je skvelý a poskytuje veľa informácií, ale existujú aj ďalšie nástroje, ktoré vám môžu poskytnúť trochu viac informácií. Dva nástroje, ktoré odporúčam, sú TCPView a CurrPorts. Obaja skoro vyzerajú úplne rovnako, okrem toho, že vám CurrPorts poskytuje oveľa viac údajov. Tu je snímka obrazovky TCPView:
Rády, ktoré vás najviac zaujímajú, sú tie, ktoré majú stáť z ESTABLISHED. Kliknutím pravým tlačidlom myši na ľubovoľný riadok ukončíte proces alebo ukončíte spojenie. Tu je screenshot z CurrPorts:
Opäť sa pozrime ESTABLISHED pri prehliadaní zoznamu. Ako vidíte na posuvnom paneli v spodnej časti, pre každý proces v programe CurrPorts je oveľa viac stĺpcov. Môžete naozaj získať veľa informácií pomocou týchto programov.
Príkazový riadok
Nakoniec je príkazový riadok. Budeme používať netstat príkaz nám poskytne podrobné informácie o všetkých aktuálnych sieťových pripojeniach odosielaných do súboru TXT. Informácie sú v podstate podmnožinou toho, čo získate z programu Resource Monitor alebo programov tretích strán, takže je to naozaj len užitočné pre technikov.
Tu je rýchly príklad. Najprv otvorte príkazový riadok pre správcov a zadajte nasledujúci príkaz:
netstat -abfot 5> c: \ activity.txt
Počkajte asi minútu alebo dve a potom stlačte klávesy CTRL + C na klávesnici pre zastavenie snímania. Príkaz netstat uvedený vyššie v podstate zachyti všetky dáta sieťových pripojení každých päť sekúnd a uložiť ich do textového súboru. -abfot časť je množstvo parametrov, aby sme mohli získať ďalšie informácie v súbore. Tu je to, čo každý parameter znamená, v prípade, že máte záujem.
Keď otvoríte súbor, uvidíte skoro rovnaké informácie, ako sme získali z dvoch vyššie uvedených spôsobov: názov procesu, protokol, miestne a vzdialené čísla portov, vzdialená adresa IP / názov DNS, stav pripojenia, ID procesu atď..
Opäť, všetky tieto údaje sú prvým krokom k určeniu, či sa niečo chytľavé deje alebo nie. Budete musieť urobiť veľa Googling, ale je to najlepší spôsob, ako vedieť, či niekto snoopuje na vás alebo či malware odosiela dáta z vášho počítača na niektorý vzdialený server. Ak máte akékoľvek otázky, neváhajte komentovať. Užite si to!