Monitor Hidden web stranice i internetske veze
Prilikom čitanja ovog članka možete biti prilično sigurni da je vaše računalo povezano s poslužiteljem na kojem se nalazi moja web-lokacija, ali osim očitih veza s web-lokacijama koje se otvaraju u vašem web-pregledniku, računalo se možda povezuje s cijelim nizom drugih poslužitelja koje nisu vidljive.
Većinu vremena stvarno nećete htjeti raditi ništa napisano u ovom članku jer zahtijeva pregledavanje puno tehničkih stvari, ali ako mislite da na vašem računalu postoji program koji ne bi trebao biti tajno komuniciranje na internetu, dolje navedene metode pomoći će vam da utvrdite nešto neobično.
Važno je napomenuti da će računalo s operacijskim sustavom kao što je Windows s nekoliko instaliranih programa po defaultu stvoriti mnogo veza s vanjskim poslužiteljima. Na primjer, na mom računalu sa sustavom Windows 10 nakon ponovnog pokretanja sustava i bez pokretanja programa, nekoliko samih veza uspostavlja Windows, uključujući OneDrive, Cortana, pa čak i pretraživanje računala. Pročitajte moj članak o osiguravanju sustava Windows 10 da biste saznali više o načinima na koje možete spriječiti komunikaciju sustava Windows 10 s Microsoftovim poslužiteljima.
Na tri načina možete pratiti veze koje vaše računalo čini s Internetom: putem naredbenog retka, pomoću Nadzornik resursa ili putem programa treće strane. Spomenut ću posljednji naredbeni redak, budući da je to tehnički i najteže dešifrirati.
Monitor resursa
Najlakši način da provjerite sve veze koje vaše računalo radi je da ih koristite Monitor resursa. Da biste ga otvorili, morate kliknuti na Start, a zatim upisati monitor resursa. Vidjet ćete nekoliko kartica na vrhu i onaj na koji želimo kliknuti Mreža.
Na ovoj kartici vidjet ćete nekoliko odjeljaka s različitim vrstama podataka: Procesi s mrežnom aktivnošću, Aktivnost mreže, TCP veze i Portovi za slušanje.
Svi podaci navedeni u ovim zaslonima ažuriraju se u stvarnom vremenu. Možete kliknuti na zaglavlje u bilo kojem stupcu za sortiranje podataka u rastućem ili opadajućem redoslijedu. U Procesi s mrežnom aktivnošću popis uključuje sve procese koji imaju bilo koju vrstu mrežne aktivnosti. Također ćete moći vidjeti ukupnu količinu podataka poslanih i primljenih u bajtovima po sekundi za svaki proces. Primijetit ćete da se pored svakog procesa nalazi prazan okvir koji se može koristiti kao filtar za sve ostale odjeljke.
Na primjer, nisam bio siguran što nvstreamsvc.exe je, pa sam ga provjerio i zatim pogledao podatke u drugim odjeljcima. U odjeljku Mrežna aktivnost želite pogledati Adresa polje, koje će vam dati IP adresu ili DNS ime udaljenog poslužitelja.
Samo po sebi, informacije ovdje neće nužno pomoći da shvatite je li nešto dobro ili loše. Morate koristiti neke web-lokacije trećih strana koje će vam pomoći identificirati proces. Prvo, ako ne prepoznajete naziv procesa, nastavite ga i koristite ga pomoću punog imena, tj. nvstreamsvc.exe.
Uvijek kliknite barem na prve četiri do pet veza i odmah ćete dobiti dobru predodžbu o tome je li program siguran ili ne. U mom slučaju to se odnosilo na uslugu NVIDIA streaminga, koja je sigurna, ali nije nešto što mi je potrebno. Konkretno, proces je za streaming igara s vašeg računala na NVIDIA Shield, što ja nemam. Nažalost, kada instalirate NVIDIA upravljački program, on instalira mnoge druge značajke koje vam nisu potrebne.
Budući da se ova usluga odvija u pozadini, nikad nisam znao da postoji. Nije se pojavio na ploči GeForce i tako sam pretpostavio da sam instalirao upravljački program. Kad sam shvatio da mi ova usluga nije potrebna, uspio sam deinstalirati neki NVIDIA softver i riješiti se servisa koji je stalno komunicirao na mreži, iako ga nikad nisam koristio. Dakle, to je jedan od primjera kako kopanje u svaki proces može pomoći ne samo u prepoznavanju mogućeg zlonamjernog softvera, nego i ukloniti nepotrebne usluge koje bi hakeri mogli iskoristiti.
Drugo, trebate potražiti IP adresu ili DNS ime navedeno u Adresa polje. Možete provjeriti alat kao što je DomainTools, koji će vam dati potrebne informacije. Primjerice, u odjeljku Mrežna aktivnost primijetio sam da se postupak steam.exe spaja na IP adresu 208.78.164.10. Kada sam ga uključio u gore spomenuti alat, sretan sam što sam saznao da domenu kontrolira Valve, tvrtka koja posjeduje Steam.
Ako vidite da se IP adresa povezuje s poslužiteljem u Kini ili Rusiji ili na nekom drugom čudnom mjestu, možda imate problem. Proces Googlea obično će vas dovesti do članaka o tome kako ukloniti zlonamjerni softver.
Programi treće strane
Resource Monitor je super i daje vam puno informacija, ali postoje i drugi alati koji vam mogu dati malo više informacija. Dva alata koje preporučujem su TCPView i CurrPorts. Obje su prilično slične, osim što vam CurrPorts daje mnogo više podataka. Evo snimke zaslona TCPView:
Redovi za koje ste najviše zainteresirani su oni koji imaju država od osnovana. Možete kliknuti desnom tipkom miša na bilo koji redak da biste završili postupak ili zatvorili vezu. Evo snimke zaslona programa CurrPorts:
Opet, pogledajte osnovana tijekom pregledavanja popisa. Kao što možete vidjeti iz klizača na dnu, postoji mnogo više stupaca za svaki proces u CurrPorts. Možete stvarno dobiti puno informacija pomoću tih programa.
Naredbeni redak
Konačno, tu je i naredbeni redak. Koristit ćemo netstat naredbu da biste dobili detaljne informacije o svim trenutnim mrežnim vezama koje su izašle u TXT datoteku. Informacije su u osnovi podskup onoga što dobivate iz nadzornika resursa ili programa treće strane, tako da je zapravo samo korisno za tehničare.
Evo kratkog primjera. Najprije otvorite naredbeni redak administratora i upišite sljedeću naredbu:
netstat -abfot 5> c: aktivnost.txt
Pričekajte oko minutu ili dvije, a zatim pritisnite CTRL + C na tipkovnici da biste zaustavili snimanje. Gornja naredba netstat će u osnovi uhvatiti sve podatke mrežne veze svakih pet sekundi i spremiti ih u tekstualnu datoteku. -abfot dio je hrpa parametara, tako da možemo dobiti dodatne informacije u datoteci. Evo što svaki parametar znači, u slučaju da ste zainteresirani.
Kada otvorite datoteku, vidjet ćete gotovo iste podatke koje smo dobili od druga dva načina: ime procesa, brojevi protokola, lokalni i udaljeni brojevi portova, udaljena IP adresa / DNS ime, stanje veze, ID procesa, itd..
Opet, svi ovi podaci su prvi korak u određivanju da li se nešto sumnjivo događa ili ne. Morat ćete obaviti mnogo Googlinga, ali to je najbolji način da saznate je li netko njuška ili ako zlonamjerni softver šalje podatke s vašeg računala na neki udaljeni poslužitelj. Ako imate bilo kakvih pitanja, slobodno komentirajte. Uživati!