Seuraa piilotettua verkkosivustoa ja Internet-yhteyksiä
Voit olla varma, että tietokone on liitetty palvelimeen, joka ylläpitää sivustoni, kun luet tätä artikkelia, mutta tietokoneesi saattaa olla yhteydessä useisiin muihin palvelimiin sen lisäksi, että tietokoneesi on selaimessasi avoinna. jotka eivät ole näkyvissä.
Suurimman osan ajasta et todellakaan aio tehdä mitään kirjoitettua tässä artikkelissa, koska se vaatii paljon teknistä tavaraa, mutta jos luulet, että tietokoneessa on ohjelma, jota ei pitäisi olla salassa Internetissä alla olevat menetelmät auttavat tunnistamaan jotain epätavallista.
On syytä huomata, että tietokone, jossa on Windows-käyttöjärjestelmä, jossa on muutamia asennettuja ohjelmia, tekee oletusarvoisesti paljon yhteyksiä ulkopuolisiin palvelimiin. Esimerkiksi Windows 10 -laitteessani uudelleenkäynnistyksen jälkeen ja ilman ohjelmia, useiden yhteyksien muodostavat itse Windows, mukaan lukien OneDrive, Cortana ja jopa työpöytähaku. Lue artikkelini Windows 10: n turvaamisesta oppiaksesi tapoja estää Windows 10: n kommunikoimasta Microsoftin palvelimien kanssa liian usein.
Voit seurata tietokoneesi Internet-yhteyksiä kolmella tavalla: komentokehotteella, Resource Monitor -ohjelmalla tai kolmannen osapuolen ohjelmilla. Mainitsen komentorivin viimeisenä, koska se on kaikkein tekninen ja vaikein tulkita.
Resource Monitor
Helpoin tapa tarkistaa kaikki tietokoneesi tekemät yhteydet on käyttää Resource Monitor. Voit avata sen napsauttamalla Käynnistä-painiketta ja kirjoittamalla sen resurssien seuranta. Näet useita välilehtiä ylhäällä ja sitä, jota haluat napsauttaa verkko.
Tässä välilehdessä näet useita osia, joissa on eri tyyppisiä tietoja: Prosessit verkkoaktiviteetin kanssa, Verkon toiminta, TCP-yhteydet ja Kuunteluportit.
Kaikki näissä näytöissä luetellut tiedot päivitetään reaaliajassa. Voit lajitella tiedot nousevassa tai laskevassa järjestyksessä napsauttamalla minkä tahansa sarakkeen otsikkoa. Vuonna Prosessit verkkoaktiviteetin kanssa osassa, luettelo sisältää kaikki prosessit, joilla on minkäänlaista verkkotoimintaa. Voit myös nähdä lähetettyjen ja vastaanotettujen tietojen kokonaismäärän tavuina sekunnissa kullekin prosessille. Huomaat, että jokaisen prosessin vieressä on tyhjä valintaruutu, jota voidaan käyttää kaikkien muiden osien suodattimena.
En esimerkiksi ole varma, mitä nvstreamsvc.exe olin, joten tarkistin sen ja tarkastelin sitten muiden osien tietoja. Verkkotoiminnot -kohdassa haluat tarkastella Osoite kentän, joka antaa sinulle IP-osoitteen tai etäpalvelimen DNS-nimen.
Itse asiassa tässä olevat tiedot eivät välttämättä auta sinua selvittämään, onko jokin hyvä vai huono. Sinun on käytettävä joitakin kolmannen osapuolen sivustoja, joiden avulla voit tunnistaa prosessin. Ensinnäkin, jos et tunnista prosessin nimeä, siirry eteenpäin ja Google käyttää sitä täydellä nimellä, ts. nvstreamsvc.exe.
Valitse aina vähintään neljä ensimmäistä viittä linkkiä ja saat heti hyvän käsityksen siitä, onko ohjelma turvallinen vai ei. Minun tapaukseni se liittyi NVIDIA-suoratoistopalveluun, joka on turvallinen, mutta ei jotain mitä tarvitsin. Tarkemmin sanottuna prosessi on PC-pelien siirtäminen NVIDIA-kilpeen, jota minulla ei ole. Valitettavasti, kun asennat NVIDIA-ohjaimen, se asentaa paljon muita ominaisuuksia, joita et tarvitse.
Koska tämä palvelu toimii taustalla, en koskaan tiennyt sitä olemassa. Se ei näyttänyt GeForce-paneelissa, joten oletin, että ohjain oli asennettu. Kun tajusin, etten tarvinnut tätä palvelua, pystyin poistamaan joitakin NVIDIA-ohjelmistoja ja pääsemään eroon palvelusta, joka oli jatkuvasti yhteydessä verkkoon, vaikka en koskaan käyttänyt sitä. Joten tämä on yksi esimerkki siitä, miten jokaisen prosessin kaivaminen voi auttaa tunnistamaan mahdolliset haittaohjelmat, mutta myös poistaa tarpeettomat palvelut, joita hakkerit voivat hyödyntää.
Toiseksi sinun pitäisi etsiä IP-osoite tai DNS-nimi, joka on lueteltu Osoite ala. Voit tarkistaa työkalun, kuten DomainTools, joka antaa sinulle tarvitsemasi tiedot. Esimerkiksi verkkoaktiviteetissa huomasin, että steam.exe-prosessi liittyi IP-osoitteeseen 208.78.164.10. Kun liitin sen edellä mainittuun työkaluun, sain mielelläni tietää, että verkkotunnusta ohjaa Valve, joka on Steam-yhtiö..
Jos näet IP-osoitteen, joka muodostaa yhteyden palvelimeen Kiinassa tai Venäjällä tai jostain muusta outosta sijainnista, sinulla voi olla ongelma. Googling-prosessi johtaa tavallisesti artikkeleihin haitallisen ohjelmiston poistamisesta.
Kolmannen osapuolen ohjelmat
Resource Monitor on hyvä ja antaa sinulle paljon tietoa, mutta on muitakin työkaluja, jotka voivat antaa sinulle hieman enemmän tietoa. Kaksi suositeltavaa työkalua ovat TCPView ja CurrPorts. Molemmat näyttävät aivan samalta, paitsi että CurrPorts antaa sinulle paljon enemmän tietoa. Tässä on kuvakaappaus TCPViewista:
Eniten kiinnostuneet rivit ovat ne, joilla on a Osavaltio of PERUSTI. Voit lopettaa prosessin tai sulkea yhteyden napsauttamalla mitä tahansa riviä hiiren kakkospainikkeella. Tässä on kuvakaappaus CurrPortsista:
Katso uudelleen PERUSTI yhteyksiä, kun selaat luetteloa. Kuten näet alareunassa olevasta vierityspalkista, jokaiselle CurrPorts-prosessille on paljon enemmän sarakkeita. Näiden ohjelmien avulla voit todella saada paljon tietoa.
Komentorivi
Lopuksi on komentorivi. Käytämme netstat komento antaa meille yksityiskohtaiset tiedot kaikista nykyisistä verkkoyhteyksistä, jotka on lähetetty TXT-tiedostoon. Tiedot ovat pohjimmiltaan osa Resource Monitor -ohjelmasta tai kolmannen osapuolen ohjelmista saamaa tietoa, joten se on todella hyödyllistä vain teknikoille.
Tässä on nopea esimerkki. Avaa ensin pääkäyttäjän komentokehote ja kirjoita seuraava komento:
netstat -abfot 5> c: aktiv.txt
Odota noin minuutti tai kaksi ja lopeta kaappaus painamalla CTRL + C näppäimistöllä. Yllä oleva netstat-komento tallentaa periaatteessa kaikki verkkoyhteystiedot viiden sekunnin välein ja tallentaa sen tekstitiedostoon. -abfot osa on joukko parametrejä, jotta voimme saada lisää tietoja tiedostoon. Tässä on mitä parametri tarkoittaa, jos olet kiinnostunut.
Kun avaat tiedoston, näet melko paljon samoja tietoja, joita saimme kahdesta edellä mainitusta menetelmästä: prosessin nimi, protokolla, paikallis- ja etäporttien numerot, etäinen IP-osoite / DNS-nimi, yhteystila, prosessitunnus jne..
Jälleen kaikki nämä tiedot ovat ensimmäinen askel sen määrittämiseksi, onko jokin kalainen meneillään vai ei. Sinun täytyy tehdä paljon Googlingia, mutta se on paras tapa tietää, onko joku snooping sinusta tai jos haittaohjelma lähettää tietoja tietokoneelta johonkin etäpalvelimeen. Jos sinulla on kysyttävää, voit kommentoida. Nauttia!