Můžete si být velmi jisti, že váš počítač je připojen k serveru, který hostuje mé webové stránky, když si přečtete tento článek, ale kromě zřejmých připojení k webům otevřeným ve webovém prohlížeči může být váš počítač připojen k celému hostiteli ostatních serverů, které nejsou viditelné.
Většinu času opravdu nebudete chtít dělat nic napsaného v tomto článku, protože vyžaduje pozorování mnoha technických věcí, ale pokud si myslíte v počítači je program, který by neměl tam být tajně komunikovat na internetu, níže uvedené metody vám pomohou identifikovat něco neobvyklého. Je třeba poznamenat, že počítač s operačním systémem, jako je Windows s několik nainstalovaných programů skončí tím, že ve výchozím nastavení vytvoří velké množství připojení k externím serverům. Například na mém počítači se systémem Windows 10 po restartu a bez spuštěných programů, několik připojení provádí samotný systém Windows, včetně OneDrive, Cortana a dokonce i vyhledávání na ploše. Přečtěte si můj článek o zabezpečení systému Windows 10 a zjistíte, jak můžete zabránit systému Windows 10 komunikovat se servery Microsoft příliš často.
Existují tři způsoby, jak můžete sledovat připojení počítače do Internetu: pomocí příkazového řádku pomocí nástroje Resource Monitor nebo prostřednictvím programů třetích stran. Uvážím poslední příkazový řádek, protože je to nejdůležitější a nejdůležitější.
Monitorování zdrojů
Nejjednodušší způsob, jak zkontrolovat všechna připojení, kterou váš počítač dělá, je použít Sledování zdrojů. Chcete-li ji otevřít, musíte kliknout na tlačítko Start a potom zadejte monitor prostředků. Uvidíte několik záložek v horní části a ten, na který chceme kliknout, je Síť.
na této kartě se zobrazí několik sekcí s různými typy dat: Procesy s aktivitou v síti, Aktivita sítě, TCP připojeníListening Ports.
Všechna data uvedená na těchto obrazovkách jsou aktualizována v reálném čase. Klepnutím na záhlaví v libovolném sloupci lze data řadit ve vzestupném nebo sestupném pořadí. V části Procesy se síťovou aktivitouobsahuje seznam všechny procesy, které mají jakýkoli druh síťové aktivity. Budete také moci vidět celkové množství odeslaných a přijatých dat v bajtech za sekundu pro každý proces. Všimnete si, že vedle každého procesu je prázdné políčko, které lze použít jako filtr pro všechny ostatní oddíly.
Například jsem si nebyl jistý, co nvstreamsvc.exe , tak jsem ji zkontroloval a pak jsem se podíval na data v ostatních sekcích. V sekci Aktivita sítě se podívejte na pole Adresa, které vám poskytne adresu IP nebo název DNS vzdáleného serveru.
Informace samy o sobě vám nemusí nutně pomoci zjistit, zda je něco dobré nebo špatné. Musíte použít některé webové stránky třetích stran, které vám pomohou identifikovat proces. Nejprve, pokud nerozpoznáte název procesu, pokračujte a Google používá celé jméno, tj. nvstreamsvc.exe.
Vždy klikněte na nejméně čtyři až pět odkazů a okamžitě získáte dobrou představu o tom, zda je program bezpečný nebo ne. V mém případě to souviselo s datovou službou NVIDIA, která je bezpečná, ale není to něco, co jsem potřeboval. Konkrétně jde o streamování her z počítače na NVIDIA štít, který nemám. Bohužel, když nainstalujete ovladač NVIDIA, nainstaluje mnoho dalších funkcí, které nepotřebujete.
Jelikož tato služba běží na pozadí, nikdy jsem nevěděla, že existuje. Nezjistila se v panelu GeForce a předpokládám, že jsem nainstaloval ovladač. Jakmile jsem si uvědomil, že tuto službu nepotřebuji, dokázal jsem odinstalovat nějaký software NVIDIA a zbavit se služby, která komunikovala po síti po celou dobu, i když jsem ji nikdy nepoužila. Takže to je jeden příklad toho, jak vykopávání do každého procesu vám pomůže nejen identifikovat možný malware, ale také odstranit zbytečné služby, které by hackeři mohli využít.
Za druhé byste měli hledat adresu IP nebo DNS název uvedený v poli Adresa. Můžete se podívat na nástroj, jako je DomainTools, který vám poskytne informace, které potřebujete. Například v části Aktivita sítě jsem si všiml, že proces steam.exe byl připojen k adrese IP 208.78.164.10. Když jsem ho zapojil do výše uvedeného nástroje, rád jsem se dozvěděl, že doména je řízena společností Valve, což je společnost, která vlastní Steam.
Pokud vidíte, že adresa IP se připojuje k serveru v Číně nebo Rusku nebo na nějakém jiném podivném místě, můžete mít problém. Googling proces obvykle vede k článkům o tom, jak odstranit škodlivý software.
Programy třetích stran
Resource Monitor je skvělý a poskytuje mnoho informací, ale existují další nástroje, které vám mohou poskytnout trochu více informací. Dva nástroje, které doporučuji, jsou TCPView a CurrPorts. Obě vypadají téměř úplně stejně, kromě toho, že CurrPorts vám dává mnohem více dat. Zde je screenshot TCPView:
Řády, které vás zajímají nejvíce, jsou ty, které mají stateESTABLISHED. Klepnutím pravým tlačítkem myši na libovolný řádek ukončíte proces nebo ukončíte připojení. Zde je screenshot programu CurrPorts:
Při procházení seznamem se podívejte na ESTABLISHEDpřipojení. Jak vidíte z posuvníku v dolní části stránky, je pro CurrPorts mnoho dalších sloupců pro každý proces. Pomocí těchto programů můžete skutečně získat spoustu informací.
Příkazový řádek
Nakonec je příkazový řádek. Příkaz netstatpoužijeme k tomu, abychom nám poskytli podrobné informace o všech aktuálních síťových připojeních odeslaných do souboru TXT. Informace jsou v podstatě podmnožinou toho, co získáte z programu Resource Monitor nebo programů třetích stran, takže je to opravdu užitečné pouze pro techy.
Zde je rychlý příklad. Nejprve otevřete příkazový řádek správce a zadejte následující příkaz:
netstat -abfot 5 > c:\activity.txt
Počkejte asi minutu nebo dvě a stisknutím kláves CTRL + C na klávesnici ukončíte zachycení. Příkaz netstat uvedený výše v podstatě zachycuje všechna data síťového připojení každých pět sekund a uloží je do textového souboru. Část abfotje spousta parametrů, abychom získali další informace v souboru. Zde je to, co každý parametr znamená v případě, že máte zájem.
Když otevřete soubor, uvidíte téměř stejné informace že jsme získali z dalších dvou výše uvedených metod: název procesu, protokol, místní a vzdálené čísla portů, vzdálená IP adresa / název DNS, stav připojení, ID procesu atd.
Všechny tyto údaje jsou opět prvním krokem k určení, zda se něco chytlí nebo ne. Budete muset hodně Googling, ale je to nejlepší způsob, jak vědět, jestli někdo snoopuje na vás, nebo pokud malware odesílá data z vašeho počítače na nějaký vzdálený server. Máte-li jakékoli dotazy, neváhejte se k tomu vyjádřit. Užijte si!