Biztos lehet benne, hogy a számítógép a weboldalon lévő kiszolgálóhoz csatlakozik, amikor elolvassa ezt a cikket, de a böngészőben megnyitott webhelyek nyilvánvaló kapcsolatai mellett a számítógép egy teljes házhoz csatlakozhat a többi szerver, amely nem látható.
Az idő nagy részében tényleg nem akarsz semmit írni ebben a cikkben, mivel sok technikai dolgot kell megnézni, de ha úgy gondolja van egy számítógépen futó program, amely nem létezhet titokban az interneten, az alábbi módszerek segítenek bármilyen szokatlan azonosításban.
Érdemes megjegyezni, hogy egy olyan operációs rendszert futtató számítógép, néhány telepített program végül nagyon kevés kapcsolatot létesít a külső kiszolgálókkal. Például a Windows 10 gépen az újraindítás után, és nincsenek futó programok, több kapcsolatot is létrehoz a Windows, beleértve a OneDrive, a Cortana és még az asztali keresést is. Olvassa el cikkem a a Windows 10 biztonságának biztosítása -et, hogy megtudja, hogyan akadályozhatja meg a Windows 10-et a Microsoft szerverekkel való túl gyakran történő kommunikációhoz.
Háromféleképpen lehet ellenőrizni a számítógép kapcsolatait az Internetre bocsátja: a parancssorból az Erőforrásmonitor segítségével vagy harmadik féltől származó programok segítségével. Megemlítem az utolsó parancsot, mivel ez a legtechnikaiabb és legnehezebb megfejteni.
Resource Monitor
A legegyszerűbb módja annak, a Erőforrásmonitorhasználatához. A megnyitáshoz kattintson a Start gombra, majd írja be az erőforrásmonitorparancsot. A lap tetején több füle látható, és az, amelyre rákattintunk, Hálózat.
Be ezen a lapon több különböző típusú adat jelenhet meg: Folyamatok hálózati aktivitással, Hálózati tevékenység, TCP kapcsolatokés Listening Ports
Az összes képernyőn megjelenő adatok valós időben frissülnek. Bármelyik oszlop fejlécére kattintva rendezheti az adatokat növekvő vagy csökkenő sorrendben. A Folyamatok hálózati aktivitássalszakaszban a lista tartalmazza azokat a folyamatokat, amelyek valamilyen hálózati tevékenységet végeznek. Az egyes folyamatokban másodpercenként bájtban küldött és fogadott összes adat mennyiségét is megtekintheti. Figyelmeztetni fogjuk, hogy minden egyes folyamat mellett egy üres jelölőnégyzet van, amely a többi szekcióban használható szűrőként.
Például nem voltam biztos benne, hogy az nvstreamsvc.exe volt, ezért ellenőriztem, majd megnéztem az adatokat a többi szakaszban. Hálózati tevékenység alatt meg szeretné tekinteni a Címmezőt, amely megadja az IP-címet vagy a távoli kiszolgáló DNS-nevét.
Magában és önmagában az itt található információk nem feltétlenül segítenek kitalálni, hogy valami jó vagy rossz-e. A folyamat azonosításához segítséget kell nyújtania harmadik fél webhelyeinek használatához. Először is, ha nem ismeri fel a folyamat nevét, folytassa a Google-t, és használja a teljes nevet, azaz nvstreamsvc.exe.
Mindig kattintson legalább az első négy-öt linkre, és azonnal megtudhatja, hogy a program biztonságos-e vagy sem. Az én esetemben kapcsolatban állt az NVIDIA streaming szolgáltatással, ami biztonságos, de nem valami, amire szükségem volt. Pontosabban, ez a folyamat a számítógépről származó streaming játékokra az NVIDIA pajzsra vonatkozik, amelyet nekem nincs. Sajnos, ha telepíti az NVIDIA illesztőprogramot, sok olyan funkciót telepít, amelyekre nincs szüksége.
Mivel ez a szolgáltatás a háttérben fut, soha nem tudtam, hogy létezik. Nem jelent meg a GeForce panelen, ezért feltételeztem, hogy telepítettem az illesztőprogramot. Miután rájöttem, hogy nem volt szükségem erre a szolgáltatásra, sikerült eltávolítanom néhány NVIDIA szoftvert, és megszabadulni a szolgáltatástól, amely folyamatosan kommunikál a hálózaton, annak ellenére, hogy soha nem használtam. Tehát ez egy példa arra, hogy hogyan lehet ásni minden egyes folyamathoz, segít nemcsak a lehetséges rosszindulatú programokat azonosítani, hanem felesleges szolgáltatásokat is eltávolítani, amelyeket a hackerek esetleg kihasználhatnak.
Másodszor meg kell keresned az IP-címet vagy a DNS-t a Címmezőben szereplő név. Megtekintheti az DomainTools eszközt, amely megadja a szükséges információkat. Például a Hálózati tevékenység alatt észrevettem, hogy a steam.exe folyamat a 208.78.164.10 IP-címhez csatlakozott. Amikor csatlakoztattuk a fenti eszközhöz, örömmel értesültem arról, hogy a domain felügyelet alatt áll a Valve, amely a Steam tulajdonában áll.
Ha látja, hogy egy IP-cím csatlakozik egy kiszolgálóhoz Kínában vagy Oroszországban vagy valamilyen más furcsa helyszínen, előfordulhat, hogy problémája van. A folyamat elindítása általában olyan cikkeket vezet, amelyekkel eltávolíthatja a rosszindulatú programokat.
Harmadik féltől származó programok
Az erőforrás-figyelő nagyszerű, és sok információt ad, de van más olyan eszközöket, amelyek még egy kicsit több információt nyújtanak. Az általam ajánlott két eszköz TCPView és CurrPorts. Mindkettő nagyjából ugyanúgy néz ki, azzal a különbséggel, hogy a CurrPorts sokkal több adatot ad. Itt egy képernyőkép a TCPView-ről:
A leginkább érdeklődő sorok azok, amelyek állapotLÉTRE. A folyamat befejezéséhez vagy a kapcsolat bezárásához jobb egérgombbal kattinthat bármelyik sorra. Itt egy CurrPorts képernyőkép:
Ismét nézze meg a ESTABLISHEDkapcsolatokat a listán való böngészés során. Amint az alul látható gördítősávon látható, a CurrPort-okban minden egyes folyamatnál több oszlop is található. Valóban rengeteg információt kaphatsz ezeken a programokon.
Parancssor
Végül ott van a parancssor. A netstatparanccsal részletes tájékoztatást adunk a TXT fájlba kiadott összes jelenlegi hálózati kapcsolatról. Az információ alapvetően egy részhalmaza annak, amit az Erőforrásmonitorból vagy a harmadik féltől származó programokból származtat, ezért ez csak a techies számára hasznos.
Itt egy gyors példa. Először nyissa meg a Rendszergazda parancsot, és írja be a következő parancsot:
netstat -abfot 5 > c:\activity.txt
Várjon körülbelül egy-két percig, majd nyomja meg a CTRL + C billentyűkombinációt a rögzítés leállításához. A fenti netstat parancs öt másodpercenként alapvetően rögzíti az összes hálózati kapcsolatot, és mentse a szöveges fájlba. A - abfotrész egy csomó paraméter, így extra információt kaphatunk a fájlban. Itt van, amit az egyes paraméterek jelentenek, ha érdekel.
A fájl megnyitásakor nagyjából ugyanazok az információk fognak megjelenni amit a fenti két másik módszerrel kaptunk: folyamatnév, protokoll, helyi és távoli portszámok, távoli IP-cím / DNS-név, kapcsolatállapot, folyamatazonosító stb.
Ismét ezen adatok mindegyike első lépés annak eldöntésére, hogy valami halálos-e vagy sem. Nagyon sok Googlingot kell csinálnod, de ez a legjobb módja annak, hogy megtudd, ha valaki szopogat rád, vagy ha a rosszindulatú program adatokat küld a számítógépről egy távoli kiszolgálóra. Ha bármilyen kérdése van, ne habozzon megjegyezni. Enjoy!