Παρακολούθηση κρυφών ιστοτόπων και συνδέσεων Internet
Μπορείτε να είστε σίγουροι ότι ο υπολογιστής σας είναι συνδεδεμένος με τον εξυπηρετητή που φιλοξενεί τον ιστότοπό μου καθώς διαβάζετε αυτό το άρθρο, αλλά εκτός από τις προφανείς συνδέσεις με τους ιστότοπους που ανοίγουν στο πρόγραμμα περιήγησης ιστού, ο υπολογιστής σας μπορεί να συνδέεται με πλήθος άλλων διακομιστών που δεν είναι ορατά.
Τις περισσότερες φορές, δεν θέλετε πραγματικά να κάνετε τίποτα γραμμένο σε αυτό το άρθρο, καθώς απαιτεί την εξέταση πολλών τεχνικών θεμάτων, αλλά αν νομίζετε ότι υπάρχει ένα πρόγραμμα στον υπολογιστή σας που δεν πρέπει να υπάρχει εκεί επικοινωνώντας κρυφά στο Διαδίκτυο, οι παρακάτω μέθοδοι θα σας βοηθήσουν να εντοπίσετε κάτι ασυνήθιστο.
Αξίζει να σημειωθεί ότι ένας υπολογιστής με λειτουργικό σύστημα όπως τα Windows με μερικά εγκατεστημένα προγράμματα θα καταλήξει να κάνει πολλές συνδέσεις με εξωτερικούς διακομιστές από προεπιλογή. Για παράδειγμα, στο μηχάνημα των Windows 10 μετά από μια επανεκκίνηση και χωρίς εκτέλεση προγραμμάτων, πραγματοποιούνται αρκετές συνδέσεις από τα ίδια τα Windows, συμπεριλαμβανομένου του OneDrive, της Cortana και ακόμα και την αναζήτηση στην επιφάνεια εργασίας. Διαβάστε το άρθρο μου σχετικά με τη διασφάλιση των Windows 10 για να μάθετε τρόπους με τους οποίους μπορείτε να εμποδίσετε τα Windows 10 να επικοινωνούν πολύ συχνά με τους διακομιστές της Microsoft.
Υπάρχουν τρεις τρόποι με τους οποίους μπορείτε να παρακολουθήσετε τις συνδέσεις που κάνει ο υπολογιστής σας στο Διαδίκτυο: μέσω της γραμμής εντολών, χρησιμοποιώντας το Resource Monitor ή μέσω προγραμμάτων τρίτων. Θα αναφέρω την τελευταία γραμμή εντολών αφού αυτό είναι το πιο τεχνικό και πιο δύσκολο να αποκρυπτογραφηθεί.
Παρακολούθηση πόρων
Ο ευκολότερος τρόπος για να ελέγξετε όλες τις συνδέσεις που κάνει ο υπολογιστής σας είναι να χρησιμοποιήσετε Παρακολούθηση πόρων. Για να το ανοίξετε, πρέπει να κάνετε κλικ στο κουμπί Έναρξη και στη συνέχεια να πληκτρολογήσετε παρακολούθηση πόρων. Θα δείτε πολλές καρτέλες στην κορυφή και αυτή στην οποία θέλουμε να κάνουμε κλικ Δίκτυο.
Σε αυτήν την καρτέλα, θα δείτε διάφορες ενότητες με διαφορετικούς τύπους δεδομένων: Διαδικασίες με δραστηριότητα δικτύου, Δραστηριότητα δικτύου, Συνδέσεις TCP και Ακρόαση λιμανιών.
Όλα τα δεδομένα που παρατίθενται σε αυτές τις οθόνες ενημερώνονται σε πραγματικό χρόνο. Μπορείτε να κάνετε κλικ σε μια κεφαλίδα σε οποιαδήποτε στήλη για να ταξινομήσετε τα δεδομένα σε αύξουσα ή φθίνουσα σειρά. Στο Διαδικασίες με δραστηριότητα δικτύου , η λίστα περιλαμβάνει όλες τις διαδικασίες που έχουν οποιοδήποτε είδος δραστηριότητας δικτύου. Επίσης, θα μπορείτε να δείτε το συνολικό ποσό των δεδομένων που αποστέλλονται και λαμβάνονται σε bytes ανά δευτερόλεπτο για κάθε διαδικασία. Θα παρατηρήσετε ότι υπάρχει ένα κενό πλαίσιο ελέγχου δίπλα σε κάθε διαδικασία, το οποίο μπορεί να χρησιμοποιηθεί ως φίλτρο για όλες τις άλλες ενότητες.
Για παράδειγμα, δεν ήξερα τι nvstreamsvc.exe ήταν, έτσι το έλεγξα και στη συνέχεια εξέτασα τα δεδομένα στα άλλα τμήματα. Στην περιοχή Δραστηριότητα δικτύου, θέλετε να δείτε το Διεύθυνση , το οποίο θα σας δώσει μια διεύθυνση IP ή το όνομα DNS του απομακρυσμένου διακομιστή.
Από μόνο του, οι πληροφορίες εδώ δεν θα σας βοηθήσουν να καταλάβετε αν κάτι είναι καλό ή κακό. Πρέπει να χρησιμοποιήσετε κάποιες ιστοσελίδες τρίτων για να σας βοηθήσουμε να προσδιορίσετε τη διαδικασία. Πρώτον, εάν δεν αναγνωρίζετε ένα όνομα διαδικασίας, προχωρήστε και το Google χρησιμοποιεί το πλήρες όνομα, δηλ. nvstreamsvc.exe.
Πάντα, κάντε κλικ τουλάχιστον στους πρώτους τέσσερις έως πέντε συνδέσμους και θα πάρετε αμέσως μια καλή ιδέα για το αν το πρόγραμμα είναι ασφαλές ή όχι. Στην περίπτωσή μου, σχετίζεται με την υπηρεσία ροής NVIDIA, η οποία είναι ασφαλής, αλλά όχι κάτι που χρειαζόμουν. Συγκεκριμένα, η διαδικασία είναι για streaming παιχνίδια από τον υπολογιστή σας στην NVIDIA Ασπίδα, η οποία δεν έχω. Δυστυχώς, κατά την εγκατάσταση του προγράμματος οδήγησης NVIDIA, εγκαθιστά πολλά άλλα χαρακτηριστικά που δεν χρειάζεστε.
Δεδομένου ότι η υπηρεσία αυτή τρέχει στο παρασκήνιο, ποτέ δεν ήξερα ότι υπήρχε. Δεν εμφανίστηκε στον πίνακα GeForce και έτσι υποθέτω ότι μόλις εγκατέστησα το πρόγραμμα οδήγησης. Μόλις συνειδητοποίησα ότι δεν χρειάστηκα αυτή την υπηρεσία, κατάφερα να απεγκαταστήσω κάποιο λογισμικό της NVIDIA και να απαλλαγώ από την υπηρεσία, η οποία επικοινωνούσε συνεχώς στο δίκτυο, παρόλο που δεν την χρησιμοποιούσα ποτέ. Αυτό είναι ένα παράδειγμα για το πώς το σκάψιμο σε κάθε διαδικασία μπορεί να σας βοηθήσει όχι μόνο να εντοπίσετε πιθανά κακόβουλα προγράμματα, αλλά και να αφαιρέσετε περιττές υπηρεσίες που θα μπορούσαν ενδεχομένως να εκμεταλλευτούν οι χάκερ.
Δεύτερον, θα πρέπει να αναζητήσετε τη διεύθυνση IP ή το όνομα DNS που εμφανίζονται στο Διεύθυνση πεδίο. Μπορείτε να δείτε ένα εργαλείο όπως το DomainTools, το οποίο θα σας δώσει τις πληροφορίες που χρειάζεστε. Για παράδειγμα, στο Δραστηριότητα δικτύου, παρατηρήσαμε ότι η διαδικασία steam.exe συνδέθηκε με τη διεύθυνση IP 208.78.164.10. Όταν έχω συνδέσει αυτό στο εργαλείο που αναφέρθηκε παραπάνω, ήμουν ευτυχής να μάθω ότι ο τομέας ελέγχεται από την Valve, η οποία είναι η εταιρεία που κατέχει το Steam.
Αν βλέπετε ότι μια διεύθυνση IP συνδέεται με έναν διακομιστή στην Κίνα ή τη Ρωσία ή κάποια άλλη περίεργη τοποθεσία, ενδέχεται να έχετε κάποιο πρόβλημα. Το Googling της διαδικασίας θα σας οδηγήσει κανονικά σε άρθρα σχετικά με τον τρόπο κατάργησης του κακόβουλου λογισμικού.
Προγράμματα τρίτων μερών
Το Resource Monitor είναι υπέροχο και σας δίνει πολλές πληροφορίες, αλλά υπάρχουν και άλλα εργαλεία που μπορούν να σας δώσουν λίγο περισσότερες πληροφορίες. Τα δύο εργαλεία που προτείνω είναι TCPView και CurrPorts. Και οι δύο μοιάζουν πολύ ακριβώς το ίδιο, εκτός από το ότι το CurrPorts σας δίνει πολλά περισσότερα δεδομένα. Ακολουθεί ένα στιγμιότυπο οθόνης του TCPView:
Οι σειρές που σας ενδιαφέρουν περισσότερο είναι αυτές που έχουν ένα κατάσταση του ΚΑΘΙΕΡΩΜΕΝΟΣ. Μπορείτε να κάνετε δεξί κλικ σε οποιαδήποτε γραμμή για να τερματίσετε τη διαδικασία ή να κλείσετε τη σύνδεση. Ακολουθεί ένα στιγμιότυπο οθόνης του CurrPorts:
Και πάλι, κοιτάξτε ΚΑΘΙΕΡΩΜΕΝΟΣ συνδέσεων κατά την περιήγηση στη λίστα. Όπως μπορείτε να δείτε από τη γραμμή κύλισης στο κάτω μέρος, υπάρχουν πολλές περισσότερες στήλες για κάθε διαδικασία στο CurrPorts. Μπορείτε πραγματικά να πάρετε πολλές πληροφορίες χρησιμοποιώντας αυτά τα προγράμματα.
Γραμμή εντολών
Τέλος, υπάρχει η γραμμή εντολών. Θα χρησιμοποιήσουμε το netstat για να μας δώσετε λεπτομερείς πληροφορίες για όλες τις τρέχουσες συνδέσεις δικτύου που εξάγονται σε ένα αρχείο TXT. Οι πληροφορίες είναι βασικά ένα υποσύνολο από αυτό που παίρνετε από το Resource Monitor ή τα προγράμματα τρίτων, γι 'αυτό είναι πραγματικά μόνο χρήσιμο για τους techies.
Ακολουθεί ένα γρήγορο παράδειγμα. Αρχικά, ανοίξτε μια γραμμή εντολών διαχειριστή και πληκτρολογήστε την ακόλουθη εντολή:
netstat -abfot 5> c: \ activity.txt
Περιμένετε περίπου ένα λεπτό ή δύο λεπτά και στη συνέχεια πιέστε CTRL + C στο πληκτρολόγιό σας για να σταματήσετε τη λήψη. Η παραπάνω εντολή netstat θα καταγράψει βασικά όλα τα δεδομένα σύνδεσης δικτύου κάθε πέντε δευτερόλεπτα και θα τα αποθηκεύσει στο αρχείο κειμένου. ο -abfot μέρος είναι μια δέσμη παραμέτρων, έτσι ώστε να μπορέσουμε να λάβουμε επιπλέον πληροφορίες στο αρχείο. Εδώ είναι αυτό που σημαίνει κάθε παράμετρος, σε περίπτωση που σας ενδιαφέρει.
Όταν ανοίγετε το αρχείο, θα δείτε σχεδόν τις ίδιες πληροφορίες που έχουμε από τις άλλες δύο παραπάνω μεθόδους: όνομα διαδικασίας, πρωτόκολλο, αριθμούς τοπικών και απομακρυσμένων θυρών, απομακρυσμένη διεύθυνση IP / όνομα DNS, κατάσταση σύνδεσης, αναγνωριστικό διαδικασίας κ.λπ..
Και πάλι, όλα αυτά τα δεδομένα είναι ένα πρώτο βήμα για να καθοριστεί αν συμβαίνει κάτι ψαριού ή όχι. Θα πρέπει να κάνετε πολλά Googling, αλλά είναι ο καλύτερος τρόπος να γνωρίζετε αν κάποιος σας κοιτάζει ή αν το κακόβουλο λογισμικό αποστέλλει δεδομένα από τον υπολογιστή σας σε κάποιον απομακρυσμένο διακομιστή. Αν έχετε οποιεσδήποτε ερωτήσεις, μην διστάσετε να σχολιάσετε. Απολαμβάνω!