Монитор Хидден Вебсите анд Интернет Цоннецтионс
Можете бити прилично сигурни да је рачунар повезан са сервером који хостује мој сајт док читате овај чланак, али поред очигледних веза са сајтовима који се отварају у вашем веб прегледачу, рачунар се можда повезује са читавим низом других сервера које нису видљиве.
У већини случајева нећете желети да радите ништа написано у овом чланку, јер је потребно гледати пуно техничких ствари, али ако мислите да постоји програм на вашем рачунару који не би требало да буде ту у комуникацији тајно на Интернету, методе испод ће вам помоћи да идентификујете било шта необично.
Важно је напоменути да ће рачунар који користи оперативни систем као што је Виндовс са неколико инсталираних програма, подразумевано направити много веза са спољним серверима. На пример, на мојој Виндовс 10 машини након поновног покретања система и без покретања програма, неколико веза је направљено у самом Виндовс-у, укључујући ОнеДриве, Цортана, па чак и претрагу десктопа. Прочитајте мој чланак о обезбеђивању Виндовса 10 да бисте сазнали о начинима на које можете спречити да Виндовс 10 често комуницира са Мицрософт серверима.
Постоје три начина да пратите везе које ваш рачунар чини са Интернетом: преко командне линије, помоћу надгледања ресурса или путем програма треће стране. Споменућу командну линију последње од када је то најтеже и најтеже дешифровати.
Ресоурце Монитор
Најлакши начин да проверите све везе које ваш рачунар прави је да их користите Ресоурце Монитор. Да бисте га отворили, морате кликнути на Старт, а затим откуцати ресоурце монитор. Видећете неколико картица на врху и онај на који желимо да кликнемо Мрежа.
На овој картици видећете неколико одељака са различитим типовима података: Процеси са мрежном активношћу, Нетворк Ацтивити, ТЦП Цоннецтионс и Листенинг Портс.
Сви подаци наведени у овим екранима се ажурирају у реалном времену. Можете да кликнете на заглавље у било којој колони да бисте сортирали податке у растућем или опадајућем редоследу. Ин тхе Процеси са мрежном активношћу Ова секција садржи све процесе који имају било коју врсту мрежне активности. Такође ћете моћи да видите укупну количину података послатих и примљених у бајтовима у секунди за сваки процес. Приметићете да постоји празан квадратић поред сваког процеса, који се може користити као филтер за све остале секције.
На пример, нисам био сигуран шта нвстреамсвц.еке је, па сам проверио и погледао податке у другим одељцима. Под Нетворк Ацтивити, желите да погледате Адреса поље, које би требало да вам да ИП адресу или ДНС име удаљеног сервера.
Само по себи, информације овде неће нужно помоћи да схватите да ли је нешто добро или лоше. Морате да користите неке вебсајтове трећих страна да би вам помогли да идентификујете процес. Прво, ако не препознајете име процеса, идите даље и употребите га помоћу пуног имена, тј. нвстреамсвц.еке.
Увек, кликните кроз најмање четири до пет линкова и одмах ћете добити добру представу о томе да ли је програм безбедан или не. У мом случају, то се односило на НВИДИА стреаминг сервис, који је сигуран, али није нешто што ми је требало. Конкретно, процес је за стреаминг игара са вашег ПЦ-а на НВИДИА Схиелд, који немам. Нажалост, када инсталирате НВИДИА драјвер, инсталира много других функција које вам нису потребне.
Пошто се ова услуга одвијала у позадини, нисам знао да постоји. Није се појавио у ГеФорце панелу па сам претпоставио да сам управо инсталирао управљачки програм. Када сам схватио да ми није потребан овај сервис, успео сам да деинсталирам неки НВИДИА софтвер и да се ослободим сервиса који је стално комуницирао на мрежи, иако га никада нисам користио. То је један од примера како копање у сваки процес може да вам помогне не само да идентификујете могуће злонамерне програме, већ и да уклоните непотребне услуге које би можда могли да искористе хакери.
Друго, требате потражити ИП адресу или ДНС име наведено у Адреса поље. Можете погледати алатку као што је ДомаинТоолс, која ће вам дати потребне информације. На пример, у оквиру Нетворк Ацтивити, приметио сам да је стеам.еке процес повезан са ИП адресом 208.78.164.10. Када сам се укључио у горе поменути алат, био сам сретан што сам сазнао да домен контролише Валве, који је власник компаније Стеам.
Ако видите да се ИП адреса повезује са сервером у Кини или Русији или на некој другој чудној локацији, можда имате проблем. Процес Гооглеа обично ће вас довести до чланака о томе како да уклоните злонамерни софтвер.
Програми треће стране
Монитор ресурса је одличан и даје вам много информација, али постоје и други алати који вам могу дати мало више информација. Два алата која препоручујем су ТЦПВиев и ЦуррПортс. Оба прилично изгледају потпуно исто, осим што вам ЦуррПортс даје много више података. Ево снимка екрана за ТЦПВиев:
Редови за које сте највише заинтересовани су они који имају Држава оф ЕСТАБЛИСХЕД. Можете да кликнете десним тастером миша на било који ред да бисте завршили процес или затворили везу. Ево снимка ЦуррПортс-а:
Поново погледајте ЕСТАБЛИСХЕД везе док прегледате листу. Као што можете видети из скролбара на дну, постоји много више колона за сваки процес у ЦуррПортс. Можете заиста добити много информација користећи ове програме.
Командна линија
На крају, ту је и командна линија. Користићемо нетстат да бисте добили детаљне информације о свим тренутним мрежним везама које су излазне у ТКСТ датотеку. Информације су у основи подскуп онога што добијате од монитора ресурса или програма треће стране, тако да је заиста корисно само за техничаре.
Ево кратког примера. Прво, отворите командну линију администратора и откуцајте следећу команду:
нетстат -абфот 5> ц: \ т
Сачекајте минут-два, а затим притисните ЦТРЛ + Ц на тастатури да бисте зауставили снимање. Горња наредба нетстат ће у основи ухватити све податке мрежне везе сваких пет секунди и спремити их у текстуалну датотеку. Тхе -абфот дио је хрпа параметара тако да можемо добити додатне информације у датотеци. Ево шта сваки параметар значи, у случају да сте заинтересовани.
Када отворите датотеку, видећете скоро исте информације које смо добили од друга два метода: име процеса, протокол, локални и удаљени бројеви портова, удаљена ИП адреса / ДНС име, стање везе, ИД процеса, итд..
Опет, сви ови подаци су први корак ка утврђивању да ли се нешто сумњиво догађа или не. Мораћете да урадите много Гооглинг-а, али то је најбољи начин да сазнате да ли неко њушка или ако малваре шаље податке са вашег рачунара на неки удаљени сервер. Ако имате било каквих питања, слободно коментирајте. Уживати!