Мониторинг скрытых веб-сайтов и подключений к Интернету

Вы можете быть уверены, что ваш компьютер подключен к серверу, на котором размещен мой веб-сайт, когда вы читаете эту статью, но в дополнение к очевидным подключениям к сайтам, открытым в вашем веб-браузере, ваш компьютер может подключаться к целому хосту других серверов, которые не видны.

В большинстве случаев вам действительно не захочется делать ничего, что написано в этой статье, поскольку это требует изучения множества технических моментов, но если вы считаете, что на вашем компьютере есть программа, которой не следует Если вы тайно общаетесь в Интернете, приведенные ниже методы помогут вам выявить что-нибудь необычное.

Стоит отметить, что компьютер под управлением операционной системы, такой как Windows, с несколькими установленными программами по умолчанию будет устанавливать множество подключений к внешним серверам. Например, на моем компьютере с Windows 10 после перезагрузки и без запущенных программ сама Windows устанавливает несколько подключений, включая OneDrive, Cortana и даже поиск на рабочем столе. Прочтите мою статью на сайте безопасность Windows 10, чтобы узнать, как можно предотвратить слишком частое взаимодействие Windows 10 с серверами Microsoft.

Существует три способа мониторинга подключений вашего компьютера к Интернету: через командную строку, с помощью Resource Monitor или с помощью сторонних программ. Командную строку я упомяну в последнюю очередь, так как она самая техническая и ее труднее всего расшифровать.

Монитор ресурсов

Самый простой способ проверить все подключения вашего компьютера — использовать Монитор ресурсов . Чтобы открыть его, нажмите «Пуск», а затем введите монитор ресурсов . Вверху вы увидите несколько вкладок, и нам нужно нажать на Сеть .

resource monitor

На этой вкладке вы увидите несколько разделов с разными типами данных: Процессы с сетевой активностью , Сетевая активность , TCP-соединения и Порты прослушивания .

resource monitor processes

Все данные, перечисленные на этих экранах, обновляются в режиме реального времени. Вы можете нажать на заголовок в любом столбце, чтобы отсортировать данные по возрастанию или убыванию. В разделе Процессы с сетевой активностью в список включены все процессы, которые имеют какой-либо сетевой активности. Вы также сможете увидеть общий объем отправленных и полученных данных в байтах в секунду для каждого процесса. Вы заметите, что рядом с каждым процессом есть пустой флажок, который можно использовать в качестве фильтра для всех остальных разделов..

Например, я не был уверен, что такое nvstreamsvc.exe , поэтому проверил его, а затем посмотрел данные в других разделах. В разделе «Сетевая активность» вам нужно просмотреть поле Адрес  , в котором должен быть указан IP-адрес или DNS-имя удаленного сервера.

filter process resource monitor

Сама по себе информация здесь не обязательно поможет вам понять, хорошо ли что-то или плохо. Вам придется использовать некоторые сторонние веб-сайты, чтобы помочь вам определить этот процесс. Во-первых, если вы не узнаете имя процесса, введите в Google его полное имя, например nvstreamsvc.exe .

search for process

Всегда просматривайте хотя бы первые четыре-пять ссылок, и вы сразу поймете, безопасна программа или нет. В моем случае это было связано с потоковым сервисом NVIDIA, который безопасен, но мне не нужен. В частности, этот процесс предназначен для потоковой передачи игр с вашего ПК на NVIDIA Shield, которого у меня нет. К сожалению, когда вы устанавливаете драйвер NVIDIA, он устанавливает множество других функций, которые вам не нужны.

Поскольку эта служба работала в фоновом режиме, я даже не знал о ее существовании. Он не отображался на панели GeForce, поэтому я решил, что у меня просто установлен драйвер. Как только я понял, что мне не нужен этот сервис, я смог удалить некоторое программное обеспечение NVIDIA и избавиться от сервиса, который постоянно обменивался данными в сети, хотя я никогда им не пользовался. Это один из примеров того, как изучение каждого процесса может помочь не только выявить возможное вредоносное ПО, но и удалить ненужные службы, которые могут быть использованы хакерами.

Во-вторых, вам следует найти IP-адрес или DNS-имя, указанные в поле Адрес . Вы можете воспользоваться таким инструментом, как ДоменИнструменты, который предоставит вам необходимую информацию. Например, в разделе «Сетевая активность» я заметил, что процесс Steam.exe подключается к IP-адресу 208.78.164.10. Когда я подключил его к упомянутому выше инструменту, я был рад узнать, что домен контролируется Valve, компанией, владеющей Steam.

whois ip address

Если вы видите, что IP-адрес подключается к серверу в Китае, России или другом странном месте, возможно, у вас возникла проблема. Поиск в Google обычно приводит к статьям о том, как удалить вредоносное программное обеспечение.

Сторонние программы

.

Монитор ресурсов великолепен и дает вам много информации, но есть и другие инструменты, которые могут дать вам немного больше информации. Я рекомендую два инструмента: TCPView и CurrPorts. Оба выглядят практически одинаково, за исключением того, что CurrPorts предоставляет вам гораздо больше данных. Вот скриншот TCPView:

tcpview

Строки, которые вас больше всего интересуют, имеют Состояние , равное УСТАНОВЛЕНО . Вы можете щелкнуть правой кнопкой мыши любую строку, чтобы завершить процесс или закрыть соединение. Вот скриншот CurrPorts:

currports

Опять же, при просмотре списка обратите внимание на УСТАНОВЛЕННЫЕ соединения. Как вы можете видеть по полосе прокрутки внизу, в CurrPorts для каждого процесса имеется гораздо больше столбцов. С помощью этих программ действительно можно получить очень много информации.

Командная строка

Наконец, есть командная строка. Мы будем использовать команду netstat , чтобы получить подробную информацию обо всех текущих сетевых подключениях, выведенную в файл TXT. Информация, по сути, представляет собой подмножество того, что вы получаете от Resource Monitor или сторонних программ, поэтому на самом деле она полезна только для технических специалистов.

Вот небольшой пример. Сначала откройте командную строку администратора и введите следующую команду:

netstat -abfot 5 > c:\activity.txt

netstat command

Подождите минуту или две, а затем нажмите CTRL + C на клавиатуре, чтобы остановить захват. Приведенная выше команда netstat будет собирать все данные о сетевых подключениях каждые пять секунд и сохранять их в текстовый файл. Часть –abfot представляет собой набор параметров, с помощью которых мы можем получить дополнительную информацию в файле. Если вам интересно, вот что означает каждый параметр.

netstat command help

Открыв файл, вы увидите практически ту же информацию, которую мы получили двумя другими способами, описанными выше: имя процесса, протокол, номера локальных и удаленных портов, удаленный IP-адрес/DNS-имя, состояние соединения, процесс. удостоверение личности и т. д.

netstat output

Опять же, все эти данные — первый шаг к определению того, происходит ли что-то подозрительное или нет. Вам придется много гуглить, но это лучший способ узнать, не следит ли за вами кто-то или отправляет ли вредоносное ПО данные с вашего компьютера на какой-то удаленный сервер. Если у вас есть какие-либо вопросы, не стесняйтесь комментировать. Наслаждайтесь!.

Похожие сообщения:

Как настроить собственное облачное хранилище Как настроить собственное облачное хранилище Как определить, является ли электронное письмо фальшивым, поддельным или спамом Список плюсов и минусов Mac и ПК Скрыть одного друга от другого на Facebook USB 2.0, USB 3.0, eSATA, Thunderbolt, Firewire и скорость Ethernet Отредактируйте файл хостов Windows, чтобы заблокировать или перенаправить веб-сайты.

8.06.2016