Główna » Porady komputerowe » Monitoruj ukrytą stronę internetową i połączenia internetowe

    Monitoruj ukrytą stronę internetową i połączenia internetowe

    Możesz być pewien, że Twój komputer jest połączony z serwerem obsługującym moją stronę, czytając ten artykuł, ale oprócz oczywistych połączeń z otwartymi witrynami w przeglądarce internetowej, komputer może łączyć się z całym hostem innych serwerów które nie są widoczne.

    Przez większość czasu tak naprawdę nie będziesz chciał robić niczego napisanego w tym artykule, ponieważ wymaga to spojrzenia na wiele technicznych rzeczy, ale jeśli uważasz, że na twoim komputerze jest program, który nie powinien się tam komunikować potajemnie w Internecie poniższe metody pomogą Ci zidentyfikować wszystko, co niezwykłe.

    Warto zauważyć, że komputer z systemem operacyjnym, takim jak Windows z kilkoma zainstalowanymi programami, domyślnie wykonuje wiele połączeń z serwerami zewnętrznymi. Na przykład na moim komputerze z systemem Windows 10 po ponownym uruchomieniu i bez uruchomionych programów system Windows sam wykonuje kilka połączeń, w tym OneDrive, Cortana, a nawet wyszukiwanie na komputerze. Przeczytaj mój artykuł na temat zabezpieczania systemu Windows 10, aby dowiedzieć się o sposobach zapobiegania zbyt częstemu komunikowaniu się systemu Windows 10 z serwerami Microsoft.

    Istnieją trzy sposoby monitorowania połączeń wykonywanych przez komputer z Internetem: za pomocą wiersza polecenia, monitora zasobów lub programów innych firm. Wspomnę o wierszu polecenia, ponieważ jest to najbardziej techniczny i najtrudniejszy do rozszyfrowania.

    Monitor zasobów

    Najłatwiejszym sposobem sprawdzenia wszystkich połączeń tworzonych przez komputer jest użycie Monitor zasobów. Aby go otworzyć, musisz kliknąć Start, a następnie wpisać monitor zasobów. Zobaczysz kilka kart na górze, a tę, którą chcemy kliknąć, to Sieć.

    Na tej karcie zobaczysz kilka sekcji z różnymi typami danych: Procesy z aktywnością sieci, Aktywność sieci, Połączenia TCP i Porty nasłuchujące.

    Wszystkie dane wymienione na tych ekranach są aktualizowane w czasie rzeczywistym. Możesz kliknąć nagłówek w dowolnej kolumnie, aby posortować dane w porządku rosnącym lub malejącym. w Procesy z aktywnością sieci sekcja, lista zawiera wszystkie procesy, które mają jakąkolwiek aktywność sieciową. Będziesz także w stanie zobaczyć całkowitą ilość danych wysłanych i odebranych w bajtach na sekundę dla każdego procesu. Zauważysz, że obok każdego procesu znajduje się puste pole wyboru, które może być użyte jako filtr dla wszystkich pozostałych sekcji.

    Na przykład nie byłem pewien co nvstreamsvc.exe było, więc sprawdziłem to, a następnie przejrzałem dane w innych sekcjach. W obszarze Aktywność sieci chcesz spojrzeć na Adres pole, które powinno dać ci adres IP lub nazwę DNS zdalnego serwera.

    Informacje same w sobie nie muszą same w sobie pomóc ustalić, czy coś jest dobre, czy złe. Aby zidentyfikować proces, musisz użyć witryn internetowych innych firm. Po pierwsze, jeśli nie rozpoznajesz nazwy procesu, idź do Google, używając pełnej nazwy, tj. nvstreamsvc.exe.

    Zawsze klikaj co najmniej pierwsze cztery do pięciu linków, aby natychmiast dowiedzieć się, czy program jest bezpieczny, czy nie. W moim przypadku było to związane z usługą przesyłania strumieniowego NVIDIA, która jest bezpieczna, ale nie jest to coś, czego potrzebuję. W szczególności proces ten polega na przesyłaniu strumieniowym gier z komputera do tarczy NVIDIA, której nie mam. Niestety, po zainstalowaniu sterownika NVIDIA instaluje wiele innych funkcji, których nie potrzebujesz.

    Ponieważ ta usługa działa w tle, nigdy nie wiedziałem, że istnieje. Nie pojawił się w panelu GeForce, więc założyłem, że mam zainstalowany sterownik. Kiedy zdałem sobie sprawę, że nie potrzebuję tej usługi, udało mi się odinstalować niektóre oprogramowanie NVIDIA i pozbyć się usługi, która cały czas komunikowała się w sieci, mimo że nigdy jej nie używałem. Jest to jeden z przykładów tego, jak wniknięcie w każdy proces może pomóc nie tylko zidentyfikować możliwe złośliwe oprogramowanie, ale także usunąć niepotrzebne usługi, które mogłyby zostać wykorzystane przez hakerów.

    Po drugie, powinieneś wyszukać adres IP lub nazwę DNS wymienioną w Adres pole. Możesz sprawdzić narzędzie takie jak DomainTools, które dostarczy Ci potrzebnych informacji. Na przykład w obszarze Aktywność sieci zauważyłem, że proces steam.exe łączy się z adresem IP 208.78.164.10. Kiedy podłączyłem to do wspomnianego wyżej narzędzia, z radością dowiedziałem się, że domena jest kontrolowana przez Valve, firmę, która jest właścicielem Steam.

    Jeśli widzisz, że adres IP łączy się z serwerem w Chinach lub Rosji lub innej dziwnej lokalizacji, możesz mieć problem. Proces wyszukiwania googlu zazwyczaj prowadzi do artykułów na temat usuwania złośliwego oprogramowania.

    Programy innych firm

    Monitor zasobów jest świetny i daje wiele informacji, ale są też inne narzędzia, które mogą dać ci trochę więcej informacji. Dwa narzędzia, które polecam to TCPView i CurrPorts. Oba wyglądają prawie tak samo, z wyjątkiem tego, że CurrPorts daje ci znacznie więcej danych. Oto zrzut ekranu TCPView:

    Wiersze, które najbardziej Cię interesują, to te, które mają Stan z USTANOWIONY. Możesz kliknąć prawym przyciskiem myszy dowolny wiersz, aby zakończyć proces lub zamknąć połączenie. Oto zrzut ekranu CurrPorts:

    Ponownie spójrz na USTANOWIONY połączenia podczas przeglądania listy. Jak widać z paska przewijania na dole, w CurrPorts jest więcej kolumn dla każdego procesu. Dzięki tym programom możesz naprawdę uzyskać wiele informacji.

    Wiersz poleceń

    Wreszcie jest linia poleceń. Użyjemy netstat polecenie, aby podać szczegółowe informacje o wszystkich bieżących połączeniach sieciowych wysyłanych do pliku TXT. Informacje są w zasadzie podzbiorem tego, co otrzymujesz z Resource Monitora lub programów innych firm, więc jest to naprawdę przydatne tylko dla techników.

    Oto krótki przykład. Najpierw otwórz wiersz polecenia administratora i wpisz następujące polecenie:

    netstat -abfot 5> c: function.txt

    Poczekaj około minuty lub dwie, a następnie naciśnij klawisze CTRL + C na klawiaturze, aby zatrzymać przechwytywanie. Powyższe polecenie netstat zasadniczo przechwytuje wszystkie dane połączenia sieciowego co pięć sekund i zapisuje je w pliku tekstowym. The -abfot part jest zbiorem parametrów, dzięki czemu możemy uzyskać dodatkowe informacje w pliku. Oto, co oznacza każdy parametr, w przypadku zainteresowania.

    Kiedy otworzysz plik, zobaczysz prawie te same informacje, które otrzymaliśmy z dwóch pozostałych powyższych metod: nazwa procesu, protokół, lokalne i zdalne numery portów, zdalny adres IP / nazwa DNS, stan połączenia, identyfikator procesu itp..

    Ponownie, wszystkie te dane są pierwszym krokiem do ustalenia, czy coś podejrzanego się dzieje, czy nie. Będziesz musiał zrobić wiele Googlingu, ale jest to najlepszy sposób, aby dowiedzieć się, czy ktoś na ciebie patrzy lub czy złośliwe oprogramowanie wysyła dane z twojego komputera na jakiś zdalny serwer. Jeśli masz jakieś pytania, skomentuj. Cieszyć się!

    Monitoruj wiele dzienników w pojedynczej powłoce za pomocą MultiTail dla systemu Linux
    Monitoruj zasoby systemowe z paska zadań Windows 7
    Monitoruj procesor, pamięć i dysk IO w systemie Windows 7 za pomocą paska zadań
    Następny artykuł
    Monitoruj wiele usług Google w Chrome
    Poprzedni artykuł
    Monitoruj usługi Google z paska zadań