Sledujte skryté webové stránky a připojení k Internetu
Můžete si být jisti, že váš počítač je při čtení tohoto článku připojen k serveru, na němž jsou umístěny webové stránky, ale kromě zřejmého připojení k webovým stránkám otevřeným ve webovém prohlížeči se může počítač připojit k celé řadě dalších serverů. které nejsou viditelné.
Většinu času, opravdu nebudete chtít dělat nic napsané v tomto článku, protože to vyžaduje, aby při pohledu na spoustu technických věcí, ale pokud si myslíte, že je program na vašem počítači, který by neměl být tam komunikovat tajně níže uvedené metody vám pomohou identifikovat něco neobvyklého.
Stojí za zmínku, že počítač s operačním systémem, jako je systém Windows s několika nainstalovanými programy, skončí ve výchozím nastavení mnoha připojení k vnějším serverům. Například na mém počítači se systémem Windows 10 po restartu a bez spuštěných programů, několik připojení provádí systém Windows sám, včetně OneDrive, Cortana a dokonce i vyhledávání na ploše. Přečtěte si můj článek o zabezpečení systému Windows 10, abyste se dozvěděli o způsobech, jak zabránit systému Windows 10 v komunikaci se servery společnosti Microsoft příliš často.
Existují tři způsoby, jak můžete sledovat připojení, která počítač provádí na Internetu: prostřednictvím příkazového řádku, pomocí nástroje Sledování zdrojů nebo prostřednictvím programů třetích stran. Budu zmiňovat příkazový řádek od té doby, co je to nejvíce technické a nejtěžší rozluštit.
Sledování zdrojů
Nejjednodušší způsob, jak se podívat na všechna připojení, která počítač provádí, je použít Sledování zdrojů. Chcete-li jej otevřít, musíte kliknout na tlačítko Start a poté zadat sledování zdrojů. Uvidíte několik záložek nahoře a ten, na který chceme kliknout, je Síť.
Na této kartě uvidíte několik sekcí s různými typy dat: Procesy s aktivitou sítě, Síťová aktivita, Připojení TCP a Poslech Porty.
Všechna data uvedená v těchto obrazovkách jsou aktualizována v reálném čase. Kliknutím na záhlaví v libovolném sloupci můžete data seřadit vzestupně nebo sestupně. V Procesy s aktivitou sítě Seznam obsahuje všechny procesy, které mají jakýkoliv druh síťové aktivity. U každého procesu budete také moci zobrazit celkové množství odeslaných a přijatých dat v bytech za sekundu. Všimněte si, že vedle každého procesu je prázdné políčko, které lze použít jako filtr pro všechny ostatní sekce.
Například jsem si nebyl jistý, co nvstreamsvc.exe byl, tak jsem to zkontroloval a pak se podíval na data v ostatních sekcích. V části Síťová aktivita se chcete podívat na stránku Adresa pole, které by mělo poskytnout adresu IP nebo název DNS vzdáleného serveru.
Informace samy o sobě vám nutně nepomohou zjistit, zda je něco dobré nebo špatné. Chcete-li tento proces identifikovat, musíte použít některé webové stránky třetích stran. Za prvé, pokud neznáte název procesu, pokračujte a Google jej použijte s celým jménem, tj. nvstreamsvc.exe.
Vždy klikněte na alespoň první čtyři až pět odkazů a okamžitě získáte dobrou představu o tom, zda je program bezpečný nebo ne. V mém případě se jednalo o službu streamování NVIDIA, která je bezpečná, ale ne něco, co jsem potřeboval. Konkrétně je tento proces pro streamování her z počítače do štítu NVIDIA, který nemám. Bohužel, když instalujete ovladač NVIDIA, nainstaluje mnoho dalších funkcí, které nepotřebujete.
Protože tato služba běží na pozadí, nikdy jsem nevěděla, že existuje. V panelu GeForce se to neukázalo, a tak jsem předpokládal, že jsem nainstaloval ovladač. Jakmile jsem si uvědomil, že tuto službu nepotřebuji, byl jsem schopen odinstalovat nějaký software NVIDIA a zbavit se služby, která po celou dobu komunikovala na síti, i když jsem ji nikdy nepoužil. To je jeden z příkladů toho, jak vám může kopání do každého procesu pomoci nejen identifikovat možné škodlivé kódy, ale také odstranit nepotřebné služby, které by mohli být hackery zneužity..
Zadruhé byste měli vyhledat adresu IP nebo název DNS uvedený v seznamu Adresa pole. Můžete se podívat na nástroj, jako je DomainTools, který vám poskytne informace, které potřebujete. Například pod Network Activity jsem si všiml, že proces steam.exe se připojuje k IP adrese 208.78.164.10. Když jsem se připojil k výše uvedenému nástroji, rád jsem se dozvěděl, že doménu ovládá Valve, což je společnost, která vlastní Steam.
Pokud se adresa IP připojuje k serveru v Číně nebo Rusku nebo k jinému podivnému umístění, můžete mít problém. Googling tento proces vás obvykle povede k článkům o tom, jak odstranit škodlivý software.
Programy třetích stran
Resource Monitor je skvělý a dává vám spoustu informací, ale existují i další nástroje, které vám mohou poskytnout více informací. Dva nástroje, které doporučuji, jsou TCPView a CurrPorts. Obě do značné míry vypadají úplně stejně, s výjimkou toho, že CurrPorts vám dává mnohem více dat. Zde je snímek obrazovky TCPView:
Řádky, o které se nejvíce zajímáte, jsou ty, které mají Stát z ZALOŽENO. Proces můžete ukončit nebo zavřít kliknutím pravým tlačítkem myši na libovolný řádek. Zde je snímek obrazovky CurrPorts:
Znovu se podívejte ZALOŽENO procházet seznamem. Jak můžete vidět na posuvníku v dolní části, existuje mnoho dalších sloupců pro každý proces v CurrPorts. Pomocí těchto programů můžete opravdu získat spoustu informací.
Příkazový řádek
Nakonec existuje příkazový řádek. Použijeme netstat Příkaz, který nám poskytne podrobné informace o všech aktuálních síťových připojeních, která byla odeslána do souboru TXT. Tyto informace jsou v podstatě podmnožinou toho, co dostanete z Resource Monitor nebo programů třetích stran, takže je to opravdu užitečné pouze pro techniky.
Zde je rychlý příklad. Nejprve otevřete příkazový řádek Administrator a zadejte následující příkaz:
netstat -abfot 5> c: activity.txt
Počkejte asi minutu nebo dvě a pak stiskněte klávesy CTRL + C na klávesnici, abyste zastavili snímání. Příkaz netstat výše v podstatě zachytí všechna data síťového připojení každých pět sekund a uloží je do textového souboru. -abfot část je spoustu parametrů, takže můžeme získat další informace v souboru. Zde je to, co každý parametr znamená, pokud máte zájem.
Když otevřete soubor, uvidíte téměř stejné informace, které jsme získali z dalších dvou výše uvedených metod: název procesu, protokol, čísla lokálních a vzdálených portů, vzdálená adresa IP / název DNS, stav připojení, ID procesu, atd..
Všechny tyto údaje jsou opět prvním krokem k určení, zda se něco děje nebo ne. Budete muset udělat spoustu Googling, ale je to nejlepší způsob, jak zjistit, zda někdo snooping na vás, nebo pokud malware je odesílání dat z počítače na nějaký vzdálený server. Máte-li jakékoli dotazy, neváhejte se vyjádřit. Užívat si!