Overvåk skjult nettside og Internett-tilkoblinger
Du kan være ganske sikker på at datamaskinen din er koblet til serveren som hoster nettstedet mitt, mens du leser denne artikkelen, men i tillegg til de åpenbare koblingene til nettstedene som er åpne i nettleseren din, kan datamaskinen koble deg til en rekke andre servere som ikke er synlige.
Mesteparten av tiden vil du virkelig ikke gjøre noe som er skrevet i denne artikkelen siden det krever å se på mange tekniske ting, men hvis du tror det er et program på datamaskinen din som ikke burde kommunisere hemmelig På Internett, vil metodene nedenfor hjelpe deg med å identifisere noe uvanlig.
Det er verdt å merke seg at en datamaskin som kjører et operativsystem som Windows med noen få installerte programmer, vil ende opp med å gjøre mange tilkoblinger til eksterne servere som standard. For eksempel, på min Windows 10-maskin etter en omstart og uten programmer kjører, blir flere tilkoblinger laget av Windows selv, inkludert OneDrive, Cortana og til og med desktop søk. Les artikkelen min om å sikre Windows 10 for å lære om måter du kan hindre Windows 10 på å kommunisere med Microsoft-servere for ofte.
Det er tre måter du kan følge med på å overvåke forbindelsene som datamaskinen din lager til Internett: via kommandoprompten, ved hjelp av Resource Monitor eller via tredjepartsprogrammer. Jeg kommer til å nevne ledeteksten sist siden det er den mest tekniske og vanskeligste å dechifrere.
Ressursmonitor
Den enkleste måten å sjekke ut alle tilkoblingene datamaskinen din gjør er å bruke Ressursmonitor. For å åpne den, må du klikke på Start og deretter skrive inn ressursmonitor. Du ser flere faner over toppen, og den vi vil klikke på, er Network.
På denne kategorien ser du flere seksjoner med forskjellige typer data: Prosesser med nettverksaktivitet, Nettverksaktivitet, TCP-tilkoblinger og Lyttingsporter.
Alle dataene som er oppført på disse skjermbildene oppdateres i sanntid. Du kan klikke på en overskrift i en kolonne for å sortere dataene i stigende eller synkende rekkefølge. I Prosesser med nettverksaktivitet delen inneholder listen alle prosessene som har noen form for nettverksaktivitet. Du vil også kunne se total mengde data sendt og mottatt i byte per sekund for hver prosess. Du vil merke at det er en tom avkrysningsboks ved siden av hver prosess, som kan brukes som et filter for alle de andre seksjonene.
For eksempel var jeg ikke sikker på hva nvstreamsvc.exe var, så jeg sjekket det og så på dataene i de andre seksjonene. Under Nettverksaktivitet, vil du se på Adresse feltet, som skal gi deg en IP-adresse eller DNS-navnet til den eksterne serveren.
I seg selv vil informasjonen her ikke nødvendigvis hjelpe deg med å finne ut om noe er bra eller dårlig. Du må bruke noen tredjeparts nettsteder for å hjelpe deg med å identifisere prosessen. For det første, hvis du ikke gjenkjenner et prosessnavn, fortsett og Google det ved å bruke hele navnet, dvs.. nvstreamsvc.exe.
Klikk alltid minst de første fire til fem koblingene, og du vil umiddelbart få en god ide om hvorvidt programmet er trygt eller ikke. I mitt tilfelle var det relatert til NVIDIA streaming service, som er trygt, men ikke noe jeg trengte. Spesielt er prosessen for streaming av spill fra din PC til NVIDIA Shield, som jeg ikke har. Dessverre, når du installerer NVIDIA-driveren, installeres det mange andre funksjoner du ikke trenger.
Siden denne tjenesten kjører i bakgrunnen visste jeg aldri at den eksisterte. Det oppsto ikke i GeForce-panelet, og jeg antok at jeg bare hadde driveren installert. Når jeg skjønte at jeg ikke trengte denne tjenesten, kunne jeg avinstallere noen NVIDIA-programvare og bli kvitt tjenesten, som kommuniserer på nettverket hele tiden, selv om jeg aldri brukte den. Så det er et eksempel på hvordan graving i hver prosess kan hjelpe deg med å ikke bare identifisere mulig skadelig programvare, men også fjerne unødvendige tjenester som muligens kunne utnyttes av hackere.
For det andre bør du slå opp IP-adressen eller DNS-navnet som er oppført i Adresse felt. Du kan sjekke ut et verktøy som DomainTools, som vil gi deg den informasjonen du trenger. For eksempel, under Nettverksaktivitet, la jeg merke til at steam.exe-prosessen var koblet til IP-adressen 208.78.164.10. Da jeg plugget det inn i verktøyet nevnt ovenfor, var jeg glad for å høre at domenet er kontrollert av Valve, som er selskapet som eier Steam.
Hvis du ser en IP-adresse, kobler du til en server i Kina eller Russland eller et annet merkelig sted, kan det hende du har et problem. Googling prosessen vil normalt lede deg til artikler om hvordan du fjerner skadelig programvare.
Tredjepartsprogrammer
Resource Monitor er flott og gir deg mye informasjon, men det finnes andre verktøy som kan gi deg litt mer informasjon. De to verktøyene jeg anbefaler er TCPView og CurrPorts. Begge ser stort sett ut akkurat det samme, bortsett fra at CurrPorts gir deg mye mer data. Her er et skjermbilde av TCPView:
Rammene du er mest interessert i er de som har en Stat av eTABLERT. Du kan høyreklikke på en hvilken som helst rad for å avslutte prosessen eller lukke tilkoblingen. Her er et skjermbilde av CurrPorts:
Igjen, se på eTABLERT tilkoblinger når du bla gjennom listen. Som du ser fra rullefeltet nederst, er det mange flere kolonner for hver prosess i CurrPorts. Du kan virkelig få mye informasjon ved hjelp av disse programmene.
Kommandolinje
Endelig er det kommandolinjen. Vi vil bruke netstat kommandoen for å gi oss detaljert informasjon om alle de nåværende nettverksforbindelsene som sendes ut til en TXT-fil. Informasjonen er i utgangspunktet en delmengde av hva du får fra Resource Monitor eller tredjepartsprogrammene, så det er egentlig bare nyttig for techies.
Her er et raskt eksempel. Først åpner du en administratorkommandoprompt og skriver inn følgende kommando:
netstat -fot 5> c: \ activity.txt
Vent i omtrent et minutt eller to, og trykk deretter CTRL + C på tastaturet for å stoppe opptaket. Netstat-kommandoen ovenfor vil i utgangspunktet fange alle nettverkstilkoblingsdata hvert femte sekund og lagre det i tekstfilen. De -abfot del er en haug med parametere slik at vi kan få ekstra informasjon i filen. Her er hva hver parameter betyr, hvis du er interessert.
Når du åpner filen, ser du omtrent samme informasjon som vi fikk fra de to andre metodene ovenfor: prosessnavn, protokoll, lokale og eksterne portnumre, ekstern IP-adresse / DNS-navn, tilkoblingsstatus, prosess-ID osv..
Igjen er alle disse dataene et første skritt for å avgjøre om noe fisket foregår eller ikke. Du må gjøre mye Googling, men det er den beste måten å vite om noen snooping på deg, eller hvis skadelig programvare sender data fra datamaskinen til en ekstern server. Hvis du har noen spørsmål, vær så snill å kommentere. Nyt!