Домашняя » Компьютерные Советы » Мониторинг скрытых веб-сайтов и интернет-соединений

    Мониторинг скрытых веб-сайтов и интернет-соединений

    Вы можете быть уверены, что ваш компьютер подключен к серверу, на котором размещен мой веб-сайт, когда вы читаете эту статью, но в дополнение к очевидным подключениям к сайтам, открытым в вашем веб-браузере, ваш компьютер может подключаться к целому ряду других серверов. которые не видны.

    Большую часть времени вам действительно не захочется делать что-либо написанное в этой статье, так как для этого нужно изучить множество технических вещей, но если вы думаете, что на вашем компьютере есть программа, которая не должна быть там для тайного общения в Интернете описанные ниже методы помогут вам определить что-то необычное.

    Стоит отметить, что компьютер, работающий под управлением операционной системы, такой как Windows, с несколькими установленными программами, по умолчанию будет выполнять множество подключений к внешним серверам. Например, на моей машине с Windows 10 после перезагрузки и без запуска программ, некоторые соединения выполняются самой Windows, включая OneDrive, Cortana и даже поиск на рабочем столе. Прочтите мою статью о защите Windows 10, чтобы узнать о способах предотвращения частой связи Windows 10 с серверами Microsoft..

    Существует три способа мониторинга подключений вашего компьютера к Интернету: через командную строку, с помощью Resource Monitor или сторонних программ. Я собираюсь упомянуть командную строку в последнюю очередь, так как это самая техническая и самая сложная для расшифровки.

    Монитор ресурсов

    Самый простой способ проверить все соединения вашего компьютера - это использовать Монитор ресурсов. Чтобы открыть его, вы должны нажать на Пуск, а затем введите Монитор ресурсов. В верхней части вы увидите несколько вкладок, и мы хотим нажать на одну из них. сеть.

    На этой вкладке вы увидите несколько разделов с различными типами данных: Процессы с сетевой активностью, Сетевая активность, TCP соединения а также Порты прослушивания.

    Все данные, перечисленные на этих экранах, обновляются в режиме реального времени. Вы можете нажать на заголовок в любом столбце, чтобы отсортировать данные в порядке возрастания или убывания. в Процессы с сетевой активностью раздел, список включает в себя все процессы, которые имеют любой вид сетевой активности. Вы также сможете увидеть общий объем отправленных и полученных данных в байтах в секунду для каждого процесса. Вы заметите пустой флажок рядом с каждым процессом, который можно использовать в качестве фильтра для всех других разделов..

    Например, я не был уверен, что nvstreamsvc.exe был, поэтому я проверил его, а затем посмотрел на данные в других разделах. В разделе Сетевая активность вы хотите посмотреть на Адрес поле, которое должно дать вам IP-адрес или DNS-имя удаленного сервера.

    Сама по себе информация здесь не обязательно поможет вам понять, хорошо это или плохо. Вы должны использовать некоторые сторонние веб-сайты, чтобы помочь вам определить процесс. Во-первых, если вы не узнаете имя процесса, отправьте его в Google, используя полное имя, т.е.. nvstreamsvc.exe.

    Всегда нажимайте хотя бы на первые четыре-пять ссылок, и вы сразу получите хорошее представление о том, безопасна программа или нет. В моем случае это было связано с потоковым сервисом NVIDIA, который безопасен, но не тот, который мне был нужен. В частности, этот процесс предназначен для потоковой передачи игр с вашего ПК на NVIDIA Shield, которого у меня нет. К сожалению, когда вы устанавливаете драйвер NVIDIA, он устанавливает множество других функций, которые вам не нужны.

    Поскольку этот сервис работает в фоновом режиме, я никогда не знал, что он существует. Он не отображался на панели GeForce, поэтому я предположил, что я только что установил драйвер. Как только я понял, что мне не нужен этот сервис, я смог удалить некоторое программное обеспечение NVIDIA и избавиться от сервиса, который постоянно общался по сети, хотя я никогда не использовал его. Так что это один из примеров того, как копание в каждом процессе может помочь вам не только определить возможные вредоносные программы, но и удалить ненужные сервисы, которые могут быть использованы хакерами..

    Во-вторых, вы должны посмотреть IP-адрес или DNS-имя, указанное в Адрес поле. Вы можете воспользоваться инструментом наподобие DomainTools, который предоставит вам необходимую информацию. Например, в разделе «Сетевая активность» я заметил, что процесс steam.exe подключался к IP-адресу 208.78.164.10. Когда я подключил это к инструменту, упомянутому выше, я был рад узнать, что домен контролируется Valve, которая является компанией, которой принадлежит Steam..

    Если вы видите, что IP-адрес подключается к серверу в Китае, России или другом странном месте, у вас может быть проблема. Поиск в Google обычно приводит к статьям о том, как удалить вредоносное программное обеспечение..

    Сторонние программы

    Resource Monitor великолепен и дает вам много информации, но есть и другие инструменты, которые могут дать вам немного больше информации. Я рекомендую два инструмента - TCPView и CurrPorts. Оба в значительной степени выглядят одинаково, за исключением того, что CurrPorts дает вам гораздо больше данных. Вот скриншот TCPView:

    Наиболее интересными являются те строки, которые имеют государственный из СОЗДАН. Вы можете щелкнуть правой кнопкой мыши по любой строке, чтобы завершить процесс или закрыть соединение. Вот скриншот CurrPorts:

    Снова посмотрите на СОЗДАН соединения при просмотре списка. Как видно из полосы прокрутки внизу, в CurrPorts есть еще много столбцов для каждого процесса. Вы можете действительно получить много информации с помощью этих программ.

    Командная строка

    Наконец, есть командная строка. Мы будем использовать NetStat Команда, чтобы дать нам подробную информацию обо всех текущих сетевых подключениях, выводимых в файл TXT. Информация в основном представляет собой подмножество того, что вы получаете из Resource Monitor или сторонних программ, поэтому она действительно полезна только для технарей.

    Вот быстрый пример. Сначала откройте командную строку администратора и введите следующую команду:

    netstat -abfot 5> c: \ activity.txt

    Подождите около минуты или двух, а затем нажмите CTRL + C на клавиатуре, чтобы остановить захват. Команда netstat, приведенная выше, в основном собирает все данные о сетевых подключениях каждые пять секунд и сохраняет их в текстовом файле. -abfot part - это набор параметров, чтобы мы могли получить дополнительную информацию в файле. Вот что означает каждый параметр, если вы заинтересованы.

    Когда вы откроете файл, вы увидите почти ту же информацию, которую мы получили от двух других методов выше: имя процесса, протокол, номера локальных и удаленных портов, удаленный IP-адрес / DNS-имя, состояние соединения, идентификатор процесса и т. Д..

    Опять же, все эти данные - первый шаг к определению, происходит ли что-то подозрительное или нет. Вам придется много гуглить, но это лучший способ узнать, кто-то присматривает за вами или вредоносное ПО отправляет данные с вашего компьютера на какой-либо удаленный сервер. Если у вас есть какие-либо вопросы, не стесняйтесь комментировать. наслаждаться!