Övervaka dold webbplats och Internetanslutningar
Du kan vara ganska säker på att din dator är ansluten till servern som är värd för min webbplats när du läser den här artikeln, men förutom de uppenbara anslutningarna till de webbplatser som är öppna i din webbläsare kan din dator ansluta till en mängd andra servrar som inte är synliga.
För det mesta kommer du inte att vilja göra något som skrivs i den här artikeln eftersom det krävs att du tittar på många tekniska saker, men om du tror att det finns ett program på din dator som inte borde kommunicera i hemlighet På Internet kommer metoderna nedan att hjälpa dig att identifiera något ovanligt.
Det är värt att notera att en dator som kör ett operativsystem som Windows med några installerade program kommer att sluta göra många anslutningar till externa servrar som standard. Till exempel, på min Windows 10-maskin efter en omstart och utan program som körs, görs flera anslutningar av Windows själv, inklusive OneDrive, Cortana och även desktop search. Läs min artikel om att säkra Windows 10 för att lära dig mer om hur du kan förhindra att Windows 10 kommunicerar med Microsoft-servrar för ofta.
Det finns tre sätt att övervaka de anslutningar som din dator gör till Internet: via kommandotolken, med hjälp av Resource Monitor eller via program från tredje part. Jag kommer att nämna kommandotolken sist eftersom det är den mest tekniska och svåraste att dechiffrera.
Resursövervakare
Det enklaste sättet att kolla alla anslutningar datorn gör är att använda Resursövervakare. För att öppna den måste du klicka på Start och sedan skriva in resursövervakare. Du får se flera flikar överst och den vi vill klicka på är Nätverk.
På den här fliken ser du flera avsnitt med olika typer av data: Processer med nätverksaktivitet, Nätverksaktivitet, TCP-anslutningar och Lyssningsportar.
Alla uppgifter som anges i dessa skärmar uppdateras i realtid. Du kan klicka på en rubrik i någon kolumn för att sortera data i stigande eller fallande ordning. I Processer med nätverksaktivitet avsnittet innehåller listan alla processer som har någon form av nätverksaktivitet. Du kan också se den totala mängden data som skickas och mottas i byte per sekund för varje process. Du kommer märka att det finns en tom kryssruta bredvid varje process, som kan användas som ett filter för alla andra avsnitt.
Till exempel var jag inte säker på vad nvstreamsvc.exe var, så jag kollade på det och tittade sedan på data i de andra sektionerna. Under Nätverksaktivitet vill du titta på Adress Fältet, som ska ge dig en IP-adress eller DNS-namnet på fjärrservern.
I sig själv kan informationen här inte nödvändigtvis hjälpa dig att ta reda på om något är bra eller dåligt. Du måste använda vissa webbplatser från tredje part för att hjälpa dig att identifiera processen. För det första, om du inte känner igen ett processnamn, fortsätt och Google använder det fullständiga namnet, dvs. nvstreamsvc.exe.
Alltid, klicka igenom minst de första fyra till fem länkarna och du får omedelbart en bra uppfattning om huruvida programmet är säkert eller inte. I mitt fall var det relaterat till NVIDIA-streamingtjänsten, vilket är säkert, men inte något jag behövde. Specifikt är processen för streaming av spel från din dator till NVIDIA Shield, som jag inte har. Tyvärr, när du installerar NVIDIA-drivrutinen installeras det många andra funktioner du inte behöver.
Eftersom denna tjänst körs i bakgrunden visste jag aldrig att det existerade. Det visade sig inte i GeForce-panelen och så antog jag att jag bara hade föraren installerad. När jag insåg att jag inte behövde den här tjänsten kunde jag avinstallera NVIDIA-programvaran och bli av med tjänsten, som kommunicerade på nätet hela tiden, trots att jag aldrig använde den. Så det är ett exempel på hur grävning i varje process kan hjälpa dig att identifiera inte bara skadlig kod, utan också ta bort onödiga tjänster som eventuellt kan utnyttjas av hackare.
För det andra bör du leta upp IP-adressen eller DNS-namnet som anges i Adress fält. Du kan kolla in ett verktyg som DomainTools, vilket ger dig den information du behöver. Till exempel, under Network Activity, märkte jag att steam.exe-processen var ansluten till IP-adress 208.78.164.10. När jag pluggar in det ovan nämnda verktyget var jag glad över att domänen kontrolleras av Valve, vilket är det företag som äger Steam.
Om du ser en IP-adress ansluts till en server i Kina eller Ryssland eller någon annan märklig plats, kan du få problem. Googling processen leder dig normalt till artiklar om hur man tar bort skadlig programvara.
Tredje parts program
Resursmonitoren är stor och ger dig mycket information, men det finns andra verktyg som kan ge dig lite mer information. De två verktyg som jag rekommenderar är TCPView och CurrPorts. Båda ser stort sett ut exakt samma, förutom att CurrPorts ger dig mycket mer data. Här är en skärmdump av TCPView:
De rader du är mest intresserad av är de som har en stat av ETABLERADE. Du kan högerklicka på någon rad för att avsluta processen eller stänga anslutningen. Här är en skärmdump av CurrPorts:
Återigen, titta på ETABLERADE anslutningar när du bläddrar igenom listan. Som du kan se från rullningsfältet längst ner finns det många fler kolumner för varje process i CurrPorts. Du kan verkligen få mycket information med hjälp av dessa program.
Kommandorad
Slutligen finns det kommandoraden. Vi kommer att använda netstat kommando för att ge oss detaljerad information om alla aktuella nätverksanslutningar utmatade till en TXT-fil. Informationen är i grund och botten en delmängd av vad du får från Resource Monitor eller program från tredje part, så det är egentligen bara användbart för tekniker.
Här är ett snabbt exempel. Öppna först en administratörs ledningsprompt och skriv in följande kommando:
netstat -abfot 5> c: \ activity.txt
Vänta i ungefär en minut eller två och tryck sedan på CTRL + C på tangentbordet för att stoppa inspelningen. Kommandot netstat ovan kommer i princip att fånga alla nätverksanslutningsdata var femte sekund och spara det i textfilen. De -abfot en del är en massa parametrar så att vi kan få extra information i filen. Här är vad varje parameter betyder, om du är intresserad.
När du öppnar filen ser du ungefär samma information som vi har från de andra två metoderna ovan: processnamn, protokoll, lokala och fjärrportnummer, fjärr IP-adress / DNS-namn, anslutningstillstånd, process ID, etc.
Återigen är alla dessa uppgifter ett första steg för att bestämma om något fiskigt är på gång eller ej. Du måste göra mycket Googling, men det är det bästa sättet att veta om någon snooping på dig eller om skadlig kod skickar data från din dator till en fjärrserver. Om du har några frågor, var god att kommentera. Njut av!