Monitorizați site-ul ascuns și conexiunile la Internet


Puteți fi sigur că computerul dvs. este conectat la serverul care găzduiește site-ul meu pe măsură ce citiți acest articol, dar în plus față de conexiunile evidente la site-urile deschise în browserul dvs. web, computerul dvs. se poate conecta la o întreagă gazdă din celelalte servere care nu sunt vizibile.

De cele mai multe ori, într-adevăr nu vrei să faci nimic scris în acest articol, deoarece trebuie să te uiți la o mulțime de lucruri tehnice, dar dacă crezi există un program pe computerul dvs. care nu ar trebui să fie acolo comunicând în secret în Internet, metodele de mai jos vă vor ajuta să identificați ceva neobișnuit. Trebuie remarcat faptul că un computer care rulează un sistem de operare precum Windows cu câteva programe instalate vor sfârși în mod implicit să facă o mulțime de conexiuni la serverele externe. De exemplu, pe mașina mea Windows 10 după repornire și fără rularea programelor, mai multe conexiuni sunt făcute chiar de Windows, inclusiv OneDrive, Cortana și chiar de căutare pe desktop. Citiți articolul meu pe securizarea Windows 10 pentru a afla cum puteți împiedica Windows 10 să comunice cu serverele Microsoft prea des. Există trei moduri în care puteți monitoriza conexiunile pe care le are calculatorul face la Internet: prin intermediul liniei de comandă, utilizând Resource Monitor sau prin programe terță parte. Voi menționa ultima comandă de comandă, deoarece aceasta este cea mai tehnică și mai greu de descifrat.

Monitorul de resurse

Cea mai ușoară modalitate de a verifica toate conexiunile pe care le produce computerul este pentru a utiliza Resurse Monitor. Pentru ao deschide, trebuie să faceți clic pe Start și apoi tastați monitorul resursei. Veți vedea mai multe file din partea superioară și cea pe care dorim să faceți clic este Rețea.

resource monitor

în această filă, veți vedea mai multe secțiuni cu diferite tipuri de date: Procesele cu activități de rețea, Activitatea rețelei, Conexiunile TCPListening Ports.

resource monitor processes

Toate datele afișate în aceste ecrane sunt actualizate în timp real. Puteți să faceți clic pe un antet din orice coloană pentru a sorta datele în ordine crescătoare sau descendentă. În secțiunea Procese cu activitate de rețea, lista include toate procesele care au orice tip de activitate în rețea. De asemenea, veți putea vedea cantitatea totală de date trimise și primite în octeți pe secundă pentru fiecare proces. Veți observa că în dreptul fiecărui proces este o căsuță goală, care poate fi folosită ca filtru pentru toate celelalte secțiuni.

De exemplu, nu știam ce nvstreamsvc.exe , așa că am verificat-o și apoi am analizat datele din celelalte secțiuni. În Activitatea rețelei, doriți să căutați câmpul Adresa, care vă va oferi o adresă IP sau numele DNS al serverului la distanță.

filter process resource monitor

În sine, informațiile de aici nu vă vor ajuta în mod necesar să vă dați seama dacă ceva este bun sau rău. Trebuie să utilizați anumite site-uri terțe pentru a vă ajuta să identificați procesul. În primul rând, dacă nu recunoașteți un nume de proces, continuați-l și Google să utilizeze numele complet, adică nvstreamsvc.exe.

search for process

Întotdeauna faceți clic pe cel puțin primele patru până la cinci link-uri și veți obține imediat o idee bună dacă programul este sau nu sigur. În cazul meu, a fost legat de serviciul de streaming NVIDIA, care este în siguranță, dar nu este ceva de care aveam nevoie. În mod specific, procesul este pentru streaming de jocuri de pe PC-ul dvs. la Shield NVIDIA, pe care nu am. Din păcate, atunci când instalați driverul NVIDIA, acesta instalează o mulțime de alte caracteristici de care nu aveți nevoie. Deoarece acest serviciu rula în fundal, niciodată nu știam că a existat. Nu a apărut în panoul GeForce și am presupus că tocmai am instalat driverul. Odată ce mi-am dat seama că nu am nevoie de acest serviciu, am reușit să dezinstalez software-ul NVIDIA și să scap de serviciul care comunica mereu în rețea, chiar dacă nu l-am folosit niciodată. Deci asta e un exemplu de modul în care săpat în fiecare proces poate ajuta să identificați nu numai malware posibil, dar, de asemenea, elimina servicii inutile, care ar putea fi, eventual, exploatate de hackeri.

În al doilea rând, ar trebui să se uite în sus adresa IP sau DNS numele afișat în câmpul Adresa. Puteți să verificați un instrument ca DomainTools, care vă va oferi informațiile de care aveți nevoie. De exemplu, în Activitatea rețelei, am observat că procesul steam.exe se conecta la adresa IP 208.78.164.10. Când l-am conectat la instrumentul menționat mai sus, am fost fericit să aflu că domeniul este controlat de Valve, care este compania care deține Steam.

whois ip address

Dacă vedeți că o adresă IP se conectează la un server din China sau Rusia sau în altă locație ciudată, este posibil să aveți o problemă. Dacă vă aflați pe Google, procesul vă va duce în mod normal la articole despre cum să eliminați software-ul rău intenționat.

Programele de la terțe părți

Monitorul de resurse este minunat și vă oferă o mulțime de informații, instrumente care vă pot oferi mai multe informații. Cele două instrumente pe care le recomand sunt TCPView și CurrPorts. Ambele arată destul de mult la fel, cu excepția faptului că CurrPorts vă oferă o mulțime de date. Iată o captură de ecran a TCPView:

tcpview

Rândurile care vă interesează mai mult sunt cele care au un StatSTABILIT. Puteți să faceți clic dreapta pe orice rând pentru a termina procesul sau a închide conexiunea. Iată o captură de ecran a CurrPorts:

currports

Din nou, consultați conexiunile ESTABLISHEDatunci când navigați prin listă. După cum puteți vedea din bara de derulare din partea de jos, există mai multe coloane pentru fiecare proces în CurrPorts. Puteți obține cu adevărat o mulțime de informații utilizând aceste programe.

Linia de comandă

În cele din urmă, există linia de comandă. Vom folosi comanda netstatpentru a ne oferi informații detaliate despre toate conexiunile de rețea actuale expediate unui fișier TXT. Informația este, în esență, un subgrup al informațiilor obținute de la Monitorul de resurse sau de la programele terță parte, deci este foarte util doar pentru tehnicieni. Iată un exemplu rapid. Mai întâi, deschideți un prompt de comandă pentru Administrator și tastați următoarea comandă:

netstat -abfot 5 > c:\activity.txt

netstat command

Așteptați aproximativ un minut sau două și apoi apăsați CTRL + C de pe tastatură pentru a opri capturarea. Comanda netstat de mai sus va capta practic toate datele de conexiune la rețea la fiecare cinci secunde și va salva în fișierul text. Partea abfoteste o mulțime de parametri, astfel încât să putem obține informații suplimentare în fișier. Iată ce înseamnă fiecare parametru, în cazul în care vă interesează.

netstat command help

Când deschideți fișierul, veți vedea aproape aceleași informații pe care le-am obținut de la celelalte două metode de mai sus: numele procesului, protocolul, numerele portului local și la distanță, adresa IP de la distanță / numele DNS, starea conexiunii, ID-ul procesului, etc

netstat output

Din nou, toate aceste date reprezintă un prim pas pentru a determina dacă se întâmplă ceva pește sau nu. Va trebui să faceți o mulțime de procesări Googling, dar este cel mai bun mod de a afla dacă cineva vă spală sau dacă un program malware trimite date de pe computerul dvs. către un server de la distanță. Dacă aveți întrebări, nu ezitați să comentați. Bucurați-vă!

Adam Curtis HyperNormalisation 2016 Subtitrat în Română

Postări asemănatoare:


8.06.2016