A rejtett weboldal és az internetkapcsolatok figyelése
Biztos lehet benne, hogy számítógépe csatlakozik a webhelyemet tároló kiszolgálóhoz, amikor ezt a cikket olvassa el, de a webböngészőben megnyitott webhelyek nyilvánvaló kapcsolatai mellett előfordulhat, hogy számítógépe több szerverhez csatlakozik amelyek nem láthatók.
Az idő nagy részében tényleg nem akarsz semmit írni a cikkben, mivel sok technikai dolgot kell néznie, de ha úgy gondolja, hogy van egy program a számítógépén, amely nem lehet titokban kommunikálni az interneten, az alábbi módszerek segítenek megtalálni a szokatlan dolgokat.
Érdemes megjegyezni, hogy egy olyan operációs rendszert futtató számítógép, amelyen a Windows telepítve van, néhány telepített programmal alapértelmezés szerint sok kapcsolatot létesít külső szerverekkel. Például, a Windows 10 gépemben újraindítás után, és nincsenek futó programok, több kapcsolat is létrejön a Windows által, beleértve a OneDrive-t, a Cortana-t és még az asztali keresést is. Olvassa el a Windows 10-re vonatkozó cikkemet, hogy megtudja, hogyan lehet megakadályozni, hogy a Windows 10 túl gyakran kommunikáljon a Microsoft kiszolgálókkal.
Háromféleképpen figyelhetjük meg a számítógép által az internetre csatlakoztatott kapcsolatokat: a parancssorral, a Resource Monitor segítségével, vagy harmadik féltől származó programok segítségével. Meg fogom említeni a parancssorot, mivel ez a legmodernebb és legnehezebb a megfejtés.
Erőforrás-monitor
A legegyszerűbb módja annak, hogy ellenőrizze a számítógép által létrehozott összes kapcsolatot Erőforrás-monitor. Megnyitásához kattintson a Start gombra, majd írja be erőforrás-monitor. A lap tetejére több lapot fog látni, és az, amit rákattintunk Hálózat.
Ezen a lapon több szekció látható különböző típusú adatokkal: Folyamatok a hálózati tevékenységgel, Hálózati tevékenység, TCP-kapcsolatok és Hallgatói portok.
Az ezekben a képernyőkben felsorolt összes adat valós időben frissül. Bármely oszlopban kattintson a fejlécre az adatok növekvő vagy csökkenő sorrendben történő rendezéséhez. Ban,-ben Folyamatok a hálózati tevékenységgel A lista minden olyan folyamatot tartalmaz, amely bármilyen típusú hálózati tevékenységgel rendelkezik. Az egyes folyamatokhoz a küldött és fogadott adatok bájtokban másodpercenként is meg fog jelenni. Megfigyelheted, hogy minden egyes folyamat mellett egy üres jelölőnégyzet található, amely minden más szakasz szűrőjeként használható.
Például nem voltam biztos benne, hogy mi nvstreamsvc.exe volt, ezért megnéztem, majd megvizsgáltam a többi fejezet adatait. A Hálózati tevékenység alatt meg szeretné tekinteni a Cím mező, amely IP-címet vagy a távoli kiszolgáló DNS-nevét adja meg.
Önmagában az itt található információk nem feltétlenül segítenek kitalálni, hogy valami jó vagy rossz. Néhány harmadik fél webhelyét kell használnia a folyamat azonosításához. Először is, ha nem ismeri fel a folyamat nevét, menjen előre és a Google a teljes nevet használja, azaz a következőt:. nvstreamsvc.exe.
Mindig kattintson az első négy-öt linkre, és azonnal megismerheti, hogy a program biztonságos-e vagy sem. Az én esetemben az NVIDIA streaming szolgáltatáshoz kapcsolódik, ami biztonságos, de nem valami szükséges. Pontosabban, az a folyamat, hogy a számítógépedről az NVIDIA Shield-re való streaming-eket állíthatom be, amit nem. Sajnos, amikor telepíti az NVIDIA illesztőprogramot, sok más funkciót telepít, amire nincs szüksége.
Mivel ez a szolgáltatás a háttérben fut, soha nem tudtam, hogy létezik. Nem jelenik meg a GeForce panelen, és azt feltételeztem, hogy csak az illesztőprogramot telepítettem. Miután rájöttem, hogy nem kell ezt a szolgáltatást, képes voltam eltávolítani néhány NVIDIA szoftvert és megszabadulni a szolgáltatástól, amely folyamatosan kommunikál a hálózaton, bár soha nem használtam fel. Tehát ez az egyik példa arra, hogy az egyes folyamatokba történő ásás segíthet nem csak a lehetséges rosszindulatú programok azonosításában, hanem a felesleges szolgáltatások eltávolítását is, amelyeket a hackerek használhatnak ki.
Másodszor, meg kell keresni az IP-címet vagy a DNS-nevet, amelyet a Cím mező. Megnézheti egy olyan eszközt, mint a DomainTools, amely megadja a szükséges információkat. Például a Hálózati tevékenység alatt észrevettem, hogy a steam.exe folyamat az IP-címhez kapcsolódik 208.78.164.10. Amikor csatlakoztattam ezt a fent említett eszközhöz, örömmel megtudtam, hogy a tartományt a Valve vezérli, amely a Steam tulajdonosa..
Ha egy IP-címet lát a kínai vagy oroszországi szerverhez vagy más furcsa helyhez, akkor lehet, hogy problémája van. A folyamatos Googling rendszerint a rosszindulatú szoftverek eltávolítására vonatkozó cikkekhez vezet.
Harmadik fél programok
Az Erőforrás-monitor nagyszerű, és sok információt ad, de vannak más eszközök, amelyek egy kicsit több információt adhatnak Önnek. Az általam javasolt két eszköz a TCPView és a CurrPorts. Mindkettő nagyon hasonlít pontosan ugyanazokra, kivéve, hogy a CurrPorts több adatot ad. Íme a TCPView képernyőképe:
Azok a sorok, amelyeket leginkább érdekelnek, azok, amelyek a Állapot nak,-nek ALAPÍTOTT. A folyamat befejezéséhez vagy a kapcsolat bezárásához jobb gombbal kattintson bármelyik sorra. Íme a CurrPorts képernyőképe:
Ismét nézd meg! ALAPÍTOTT a listán való böngészés közben. Amint az alsó görgetősávból látható, a CurrPorts minden egyes folyamatához több oszlop is tartozik. Ezeket a programokat valóban sok információhoz juthat.
Parancs sor
Végül van egy parancssor. Használjuk a netstat parancs, hogy részletes információkat adjon meg a TXT fájlhoz kiadott összes aktuális hálózati kapcsolatról. Az információ alapvetően egy része annak, amit a Resource Monitor vagy a harmadik féltől származó programok kapnak, így valóban csak a technikusok számára hasznos.
Itt egy gyors példa. Először nyisson meg egy rendszergazdai parancssorot, és írja be a következő parancsot:
netstat -abfot 5> c: aktivitás.txt
Várjon kb. Egy-két percet, majd nyomja meg a CTRL + C billentyűkombinációt a rögzítés leállításához. A fenti netstat parancs alapvetően minden 5 másodpercenként rögzíti az összes hálózati kapcsolat adatot, és elmenti azt a szövegfájlba. A -abfot a rész egy csomó paraméter, hogy extra információkat kapjunk a fájlban. Itt van, amit minden paraméter jelent, ha érdekel.
Amikor megnyitja a fájlt, meglehetősen sok információt fog látni a fenti két módszer közül: folyamatnév, protokoll, helyi és távoli portszámok, távoli IP-cím / DNS-név, kapcsolat állapota, folyamatazonosító stb..
Ismét ez az adat az első lépés annak meghatározásában, hogy valami halálos-e vagy sem. Sok Google-t kell tennie, de ez a legjobb módja annak, hogy megtudja, hogy valaki rátapad-e Önre, vagy ha a rosszindulatú program adatokat küld a számítógépéről néhány távoli szerverre. Ha bármilyen kérdése van, ne habozzon megjegyzést tenni. Élvez!