Можете да сте сигурни, че компютърът ви е свързан със сървъра, който хоства моя уебсайт, докато прочетете тази статия, но освен очевидните връзки към сайтовете, отворени във вашия уеб браузър, вашият компютър може да се свързва с цял куп други сървъри които не са видими.
През повечето време наистина няма да искате да правите нищо, написано в тази статия, тъй като изисква да търсите много технически неща, но ако смятате, че има програма на вашия компютър, която не трябва да бъде там, в интернет, методите по-долу ще ви помогнат да откриете нещо необичайно.
Струва си да се отбележи, че компютър, работещ с операционна система като Windows с няколко инсталирани програми, в крайна сметка ще свърши много връзки към външни сървъри. Например, на моята Windows 10 машина след рестартиране и без да се изпълняват програми, са направени няколко връзки от самия Windows, включително OneDrive, Cortana и дори търсене в компютъра. Прочетете моята статия относно осигуряването на Windows 10, за да научите повече за начините, по които можете да предотвратите прекалено честото комуникиране със сървърите на Microsoft Windows 10.
Има три начина, по които можете да контролирате връзките, които вашият компютър прави към Интернет: чрез командния ред, като използвате Resource Monitor или чрез програми на трети страни. Аз ще спомена командния ред последно, тъй като това е най-технически и най-трудно да се разчита.
Най-лесният начин да проверите всички връзки, които вашият компютър прави, е да използвате Мониторинг на ресурсите, За да го отворите, трябва да кликнете върху Старт и след това да въведетемониторинг на ресурсите, Ще видите няколко раздели в горната част и този, върху който искаме да кликнете, е мрежа.
В този раздел ще видите няколко раздела с различни типове данни: Процеси с мрежова дейност, Дейност в мрежата, TCP връзки и Слушане на портове.
Всички данни, изброени в тези екрани, се актуализират в реално време. Можете да кликнете върху заглавка във всяка колона, за да сортирате данните във възходящ или низходящ ред. В Процеси с мрежова дейност, списъкът включва всички процеси, които имат какъвто и да е вид мрежова дейност. Ще можете също да видите общото количество изпратени и получени данни в байтове за секунда за всеки процес. Ще забележите, че до всеки процес има празно квадратче, което може да се използва като филтър за всички останали секции.
Например, не бях сигурен какво nvstreamsvc.exe беше, така че го проверих и след това разгледах данните в другите секции. Под Активност в мрежата искате да разгледате адрес поле, което трябва да ви даде IP адрес или DNS името на отдалечения сървър.
Само по себе си, информацията тук няма да ви помогне да разберете дали нещо е добро или лошо. Трябва да използвате уебсайтове на трети страни, които да ви помогнат да идентифицирате процеса. Първо, ако не разпознавате име на процес, продължете и Google използва пълното име, т.е. nvstreamsvc.exe.
Винаги кликнете през поне първите четири до пет връзки и веднага ще получите добра представа дали програмата е безопасна или не. В моя случай тя е свързана с услугата за стрийминг на NVIDIA, която е безопасна, но не е нещо, от което се нуждая. По-конкретно, процесът е за стрийминг на игри от компютъра ви до NVIDIA щита, който нямам. За съжаление, когато инсталирате драйвера за NVIDIA, той инсталира много други функции, от които не се нуждаете.
Тъй като тази услуга работи на заден план, никога не съм знаел, че съществува. Той не се появи в панела GeForce и затова предположих, че просто инсталирах драйвера. След като осъзнах, че нямам нужда от тази услуга, успях да деинсталирам някои NVIDIA софтуер и да се отърва от услугата, която през цялото време комуникираше по мрежата, въпреки че никога не съм я използвала. Така че това е един пример за това как изкопаването във всеки процес може да ви помогне не само да идентифицирате евентуален зловреден софтуер, но и да премахнете ненужните услуги, които евентуално биха могли да бъдат използвани от хакери.
На второ място, трябва да потърсите IP адреса или DNS името, изброени в адрес област. Можете да проверите инструмент като DomainTools, който ще ви даде необходимата ви информация. Например, в Активност в мрежата забелязах, че процесът steam.exe се свързва с IP адрес 208.78.164.10. Когато го включих в инструмента, споменат по-горе, бях щастлив да науча, че домейнът се контролира от Valve, която е компанията, която притежава Steam.
Ако видите IP адрес, който се свързва със сървър в Китай или Русия или друго странно местоположение, може да имате проблем. Процесът на Googling обикновено ще ви води до статии как да премахнете злонамерения софтуер.
Ресурс Монитор е страхотно и ви дава много информация, но има и други инструменти, които могат да ви дадат малко повече информация. Двата инструмента, които препоръчвам, са TCPView и CurrPorts. И двете изглеждат съвсем същите, освен, че CurrPorts ви дава много повече данни. Ето екранна снимка на TCPView:
Редовете, от които се интересувате най-вече, са тези, които имат състояние на СЪЗДАДЕНА, Можете да кликнете с десния бутон на мишката върху който и да е ред, за да завършите процеса или да затворите връзката. Ето екранна снимка на CurrPorts:
Отново вижте СЪЗДАДЕНА връзки, когато разглеждате списъка. Както можете да видите от лентата за превъртане в дъното, има много повече колони за всеки процес в CurrPorts. Можете наистина да получите много информация, използвайки тези програми.
И накрая, има командния ред. Ще използваме NETSTAT команда, за да ни даде подробна информация за всички текущи мрежови връзки, изведени в TXT файл.Информацията е основно подгрупа от това, което получавате от "Ресурсен монитор" или от програми на трети страни, така че това е наистина полезно само за техниците.
Ето един бърз пример. Първо, отворете командния ред на администратора и въведете следната команда:
netstat -abfot 5> c: \ activity.txt
Изчакайте около минута или две, след което натиснете клавишите CTRL + C на клавиатурата, за да спрете заснемането. Командата netstat по-горе по същество ще заснеме всички данни за мрежовите връзки на всеки пет секунди и ще ги запише в текстовия файл. В -abfot частта е куп параметри, така че да можем да получим допълнителна информация във файла. Ето какво означава всеки параметър, в случай, че се интересувате.
Когато отворите файла, ще видите почти същата информация, която получихме от другите два метода по-горе: име на процес, протокол, локални и отдалечени номера на портове, отдалечен IP адрес / DNS име, състояние на връзката, ID на процеса и т.н. ,
Отново, всички тези данни са първа стъпка, за да се определи дали нещо не се случва или не. Ще трябва да направите много Googling, но това е най-добрият начин да разберете дали някой ви подслушва или зловредният софтуер изпраща данни от вашия компютър до отдалечен сървър. Ако имате някакви въпроси, можете да коментирате. Наслади се!
