If-Koubou

Seuraa piilotettua verkkosivustoa ja Internet-yhteyksiä

Seuraa piilotettua verkkosivustoa ja Internet-yhteyksiä (Tietokoneavinkit)

Voit olla melko varma, että tietokoneesi on liitetty palvelimeen, joka ylläpitää verkkosivustoa lukemalla tämän artikkelin, mutta selainyhteyksiesi selaimesi avoinna oleviin sivustoihin voi tietokoneesi olla yhteydessä useisiin muihin palvelimiin jotka eivät ole näkyvissä.

Suurin osa ajasta, et todellakaan aio haluta tehdä mitään kirjoitettu tässä artikkelissa, koska se vaatii tarkastella paljon teknisiä juttuja, mutta jos luulet, että on olemassa ohjelma tietokoneellesi, joka ei saisi olla siellä ilmoittamaan salaa Internetissä alla olevat menetelmät auttavat tunnistamaan jotain epätavallista.

On syytä huomata, että tietokone, jolla on käytössä muutamia ohjelmia käyttävä Windows-käyttöjärjestelmä, päätyy tekemään paljon yhteyksiä ulkopuolisiin palvelimiin oletuksena. Esimerkiksi Windows 10-koneessa uudelleenkäynnistyksen jälkeen ja ilman käynnissä olevia ohjelmia Windows tekee itse useita yhteyksiä, kuten OneDrive-, Cortana- ja jopa työpöytähaun. Lue artikkelini Windows 10: n varmistamisesta, jotta voit oppia tavoista, joilla voit estää Windows 10: n kommunikoimasta Microsoft-palvelimiin liian usein.

Kolme tapaa voit seurata tietokoneesi Internet-yhteyksien seuraamista: komentokehotteen avulla Resource Monitor -ohjelmalla tai kolmannen osapuolen ohjelmien kautta. Mainitsen komentokehotteen, koska se on teknisintä ja vaikeinta tulkita.

Resource Monitor

Helpoin tapa tarkistaa kaikki tietokoneesi tekemät yhteydet on käyttää Resource Monitor. Avataksesi sen, sinun on napsautettava Käynnistä ja kirjoita sittenresurssien valvonta. Näet useita välilehtiä ylhäällä ja haluamamme klikkaus on verkko.

Tässä välilehdessä näet useita eri osia, joissa on erilaisia ​​tietoja: Prosessit verkkoaktiviteetin kanssa, Verkkoaktiviteetti, TCP-yhteydet ja Kuunteluportit.

Kaikki näissä näytöissä luetellut tiedot päivitetään reaaliaikaisesti. Voit lajitella tietoja nousevassa tai laskevassa järjestyksessä napsauttamalla minkä tahansa sarakkeen otsikkoa. Vuonna Prosessit verkkoaktiviteetin kanssa-osassa, luettelo sisältää kaikki prosessit, joilla on jonkinlaista verkkotoimintaa. Voit myös nähdä, kuinka paljon tietoja lähetetään ja vastaanotetaan tavuina sekunnissa kullekin prosessille. Huomaat, että jokaisen prosessin vieressä on tyhjä valintamerkki, jota voidaan käyttää kaikkien muiden osien suodattimena.

Esimerkiksi en ollut varma mitä nvstreamsvc.exe oli, joten tarkistin sen ja tarkastelin sitten tietoja muissa osissa. Verkkoaktiviteetin alla haluat katsoa Osoite joka antaa IP-osoitteen tai etäpalvelimen DNS-nimen.

Täällä olevat tiedot eivät sinänsä välttämättä auttaisi sinua selvittämään, onko jokin hyvä vai huono. Sinun on käytettävä joitakin kolmannen osapuolen sivustoja, joiden avulla voit tunnistaa prosessin. Ensinnäkin, jos et tunnista prosessin nimeä, siirry eteenpäin ja Google käyttää sitä täydellä nimellään, ts. nvstreamsvc.exe.

Aina klikkaa ainakin ensimmäisiä 4-5 linkkiä ja saat heti hyvän käsityksen siitä, onko ohjelma turvallinen vai ei. Minun tapauksessani se liittyi NVIDIA-suoratoistopalveluun, joka on turvallinen, mutta ei tarvinnut. Erityisesti prosessi on suoratoistopeleistä PC: stäsi NVIDIA Shieldiin, jota minulla ei ole. Valitettavasti asennat NVIDIA-ajurin, se asentaa paljon muita ominaisuuksia, joita et tarvitse.

Koska tämä palvelu toimii taustalla, en koskaan tiennyt sitä olemassa. Se ei näkynyt GeForce-paneelissa, joten oletin, että juuri asennin ohjaimen. Kun huomasin, etten tarvitse tätä palvelua, pystyin poistamaan joitain NVIDIA-ohjelmia ja eroon palvelusta, joka oli jatkuvasti yhteydessä verkkoon, vaikka en käyttänyt sitä koskaan. Joten tämä on yksi esimerkki siitä, kuinka kaivaminen jokaiseen prosessiin voi auttaa sinua tunnistamaan mahdolliset haittaohjelmat, mutta myös poistamaan tarpeettomat palvelut, joita hakkereita mahdollisesti voi hyödyntää.

Toiseksi, sinun on etsittävä IP-osoite tai DNS-nimi, joka on luettelossa Osoite ala. Voit tarkistaa työkalun kuten DomainTools, joka antaa sinulle tarvittavat tiedot. Esimerkiksi verkkoaktiviteetin yhteydessä huomasin, että steam.exe-prosessi oli yhteydessä IP-osoitteeseen 208.78.164.10. Kun kytkin tämän edellä mainittuun työkaluun, olin iloinen siitä, että domainia hallitsee Valve, joka on Steamin omistama yritys.

Jos näet, että IP-osoite on yhteydessä palvelimeen Kiinassa tai Venäjällä tai muulla outo-alueella, sinulla saattaa olla ongelma. Prosessin käynnistäminen johtaa normaalisti artikkeleihin, joiden avulla voidaan poistaa haittaohjelmat.

Kolmannen osapuolen ohjelmat

Resource Monitor on loistava ja antaa paljon tietoa, mutta on olemassa myös muita työkaluja, jotka voivat antaa sinulle hieman enemmän tietoa. Kaksi suosittua työkalua ovat TCPView ja CurrPorts. Molemmat näyttävät aivan samanlaisilta, paitsi että CurrPorts antaa sinulle paljon enemmän tietoa. Tässä on kuvakaappaus TCPView:

Rivit, joista sinua kiinnostaa eniten, ovat niitä, joilla on Osavaltio of PERUSTI. Voit lopettaa prosessin tai sulkea yhteyden napsauttamalla mitä tahansa riviä hiiren kakkospainikkeella. Tässä on kuvakaappaus CurrPortsista:

Katsokaa uudelleen PERUSTI yhteyksiä, kun luet luettelon. Kuten alla olevasta vierityspalkista näet, CurrPortsissa on useita sarakkeita kullekin prosessille. Voit todella saada paljon tietoa näiden ohjelmien avulla.

Komentorivi

Lopuksi on komentorivi. Käytämme netstat komento antaa meille yksityiskohtaista tietoa kaikista nykyisistä verkkoyhteyksistä, jotka on lähetetty TXT-tiedostoon.Tiedot ovat pohjimmiltaan Resource Monitorin tai kolmannen osapuolen ohjelmien osajoukkoja, joten se on vain hyödyllinen tekijöille.

Tässä on nopea esimerkki. Avaa ensin järjestelmänvalvojan komentokehote ja kirjoita seuraava komento:

netstat -abfot 5> c: \ aktiviteetti.txt

Odota hetki tai kaksi ja paina CTRL + C näppäimistöltä lopettaaksesi kaappauksen. Edellä oleva netstat-komento tallentaa kaikki verkkoyhteystiedot viiden sekunnin välein ja tallentaa ne tekstitiedostoon. The -abfot osa on joukko parametreja, jotta voimme saada lisätietoja tiedostosta. Tässä on, mitä jokainen parametri tarkoittaa, jos olet kiinnostunut.

Kun avaat tiedoston, näet melko paljon samoja tietoja, jotka saatiin kahdesta muusta yllä olevasta menetelmästä: prosessin nimi, protokolla, paikalliset ja etäiset portin numerot, etäinen IP-osoite / DNS-nimi, yhteystapa, prosessin tunnus jne. .

Jälleen kaikki nämä tiedot ovat ensimmäinen askel sen määrittämiseksi, onko jotain hämärää vai ei. Sinun täytyy tehdä paljon Googlingia, mutta se on paras tapa tietää, onko joku tappava sinuun vai onko haittaohjelma lähettänyt tietoja tietokoneeltasi johonkin etäpalvelimeen. Jos sinulla on kysyttävää, voit kommentoida. Nauttia!