Мониторинг скрытых веб-сайтов и интернет-соединений

Вы можете быть уверены, что ваш компьютер подключен к серверу, на котором размещен мой веб-сайт, когда вы читаете эту статью, но в дополнение к очевидным подключениям к сайтам, открытым в вашем веб-браузере, ваш компьютер может подключаться к целому ряду других серверов которые не видны

Большую часть времени вам действительно не захочется делать что-либо написанное в этой статье, так как для этого нужно изучить много технических вещей, но если вы думаете, что на вашем компьютере есть программа, которая не должна быть там для тайного общения в Интернете описанные ниже методы помогут вам найти что-то необычное.

Стоит отметить, что компьютер, работающий под управлением операционной системы, такой как Windows, с несколькими установленными программами, по умолчанию выполнит множество подключений к внешним серверам. Например, на моей машине с Windows 10 после перезагрузки и без запуска программ, некоторые соединения выполняются самой Windows, включая OneDrive, Cortana и даже поиск на рабочем столе. Прочтите мою статью о защите Windows 10, чтобы узнать о способах предотвращения частой связи Windows 10 с серверами Microsoft.

Существует три способа мониторинга подключений вашего компьютера к Интернету: через командную строку, с помощью Resource Monitor или сторонних программ. Я буду упоминать командную строку в последнюю очередь, так как она наиболее техническая и сложная для расшифровки.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Монитор ресурсов

Самый простой способ проверить все соединения вашего компьютера — это использовать Монитор ресурсов, Чтобы открыть его, вы должны нажать на Пуск, а затем введите Монитор ресурсов, В верхней части вы увидите несколько вкладок, и мы хотим нажать на одну из них. сеть,

Монитор ресурсов

На этой вкладке вы увидите несколько разделов с различными типами данных: Процессы с сетевой активностью, Сетевая активность, TCP соединения а также Порты прослушивания,

процессы мониторинга ресурсов

Все данные, перечисленные на этих экранах, обновляются в режиме реального времени. Вы можете нажать на заголовок в любом столбце, чтобы отсортировать данные в порядке возрастания или убывания. в Процессы с сетевой активностью раздел, список включает в себя все процессы, которые имеют любой вид сетевой активности. Вы также сможете увидеть общий объем отправленных и полученных данных в байтах в секунду для каждого процесса. Вы заметите, что рядом с каждым процессом есть пустой флажок, который можно использовать в качестве фильтра для всех других разделов.

Например, я не был уверен, что nvstreamsvc.exe был, поэтому я проверил его, а затем посмотрел на данные в других разделах. В разделе Сетевая активность вы хотите посмотреть на Адрес поле, которое должно дать вам IP-адрес или DNS-имя удаленного сервера.

монитор ресурсов процесса фильтрации

Сама по себе информация, представленная здесь, не обязательно поможет вам понять, хорошо это или плохо. Вы должны использовать некоторые сторонние веб-сайты, чтобы помочь вам определить процесс. Во-первых, если вы не можете распознать имя процесса, отправьте его в Google, указав полное имя, т.е. nvstreamsvc.exe,

поиск процесса

Всегда нажимайте хотя бы на первые четыре-пять ссылок, и вы сразу получите хорошее представление о том, безопасна программа или нет. В моем случае это было связано с потоковым сервисом NVIDIA, который безопасен, но не тот, который мне был нужен. В частности, этот процесс предназначен для потоковой передачи игр с вашего ПК на NVIDIA Shield, которого у меня нет. К сожалению, когда вы устанавливаете драйвер NVIDIA, он устанавливает множество других функций, которые вам не нужны.

Поскольку этот сервис работает в фоновом режиме, я никогда не знал, что он существует. Он не отображался на панели GeForce, поэтому я предположил, что я только что установил драйвер. Как только я понял, что мне не нужен этот сервис, я смог удалить некоторое программное обеспечение NVIDIA и избавиться от сервиса, который постоянно общался по сети, хотя я никогда не использовал его. Так что это один из примеров того, как копание в каждом процессе может помочь вам не только определить возможные вредоносные программы, но и удалить ненужные сервисы, которые могут быть использованы хакерами.

Во-вторых, вы должны посмотреть IP-адрес или DNS-имя, указанное в Адрес поле. Вы можете проверить инструмент, как DomainTools, который даст вам необходимую информацию. Например, в разделе «Сетевая активность» я заметил, что процесс steam.exe подключался к IP-адресу 208.78.164.10. Когда я подключил это к инструменту, упомянутому выше, я был рад узнать, что домен контролируется Valve, которая является компанией, которой принадлежит Steam.

IP-адрес Whois

Если вы видите, что IP-адрес подключается к серверу в Китае, России или другом странном месте, у вас может быть проблема. Поиск в Google обычно приводит к статьям о том, как удалить вредоносное программное обеспечение.

Сторонние программы

Resource Monitor великолепен и дает вам много информации, но есть и другие инструменты, которые могут дать вам немного больше информации. Два инструмента, которые я рекомендую: TCPView а также CurrPorts, Оба в значительной степени выглядят одинаково, за исключением того, что CurrPorts дает вам гораздо больше данных. Вот скриншот TCPView:

tcpview

Наиболее интересными являются те строки, которые имеют государственный из СОЗДАН, Вы можете щелкнуть правой кнопкой мыши по любой строке, чтобы завершить процесс или закрыть соединение. Вот скриншот CurrPorts:

currports

Снова посмотрите на СОЗДАН соединения при просмотре списка. Как видно из полосы прокрутки внизу, в CurrPorts есть еще много столбцов для каждого процесса. Вы действительно можете получить много информации с помощью этих программ.

Командная строка

Наконец, есть командная строка. Мы будем использовать NetStat Команда, чтобы дать нам подробную информацию обо всех текущих сетевых подключениях, выводимых в файл TXT. Информация в основном представляет собой подмножество того, что вы получаете из Resource Monitor или сторонних программ, поэтому она действительно полезна только для технарей.

Вот быстрый пример. Сначала откройте командную строку администратора и введите следующую команду:

netstat -abfot 5 > c:activity.txt

команда netstat

Подождите около минуты или двух, а затем нажмите CTRL + C на клавиатуре, чтобы остановить захват. Команда netstat, приведенная выше, в основном собирает все данные о сетевых подключениях каждые пять секунд и сохраняет их в текстовом файле. —abfot part — это набор параметров, так что мы можем получить дополнительную информацию в файле. Вот что означает каждый параметр, если вы заинтересованы.

помощь команды netstat

Когда вы откроете файл, вы увидите почти ту же информацию, которую мы получили от двух других методов выше: имя процесса, протокол, номера локальных и удаленных портов, удаленный IP-адрес / DNS-имя, состояние подключения, идентификатор процесса и т. Д. ,

вывод netstat

Опять же, все эти данные — первый шаг к определению, происходит ли что-то подозрительное или нет. Вам придется много гуглить, но это лучший способ узнать, кто-то присматривает за вами или вредоносное ПО отправляет данные с вашего компьютера на какой-либо удаленный сервер. Если у вас есть какие-либо вопросы, не стесняйтесь комментировать. Наслаждайтесь!

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.