Du kan være temmelig sikker på, at din computer er tilsluttet serveren, der er vært for min hjemmeside, mens du læser denne artikel, men ud over de åbenlyse forbindelser til de websteder, der er åbne i din webbrowser, opretter din computer muligvis forbindelse til en hel række andre servere der ikke er synlige.

Det meste af tiden vil du virkelig ikke ønske at gøre noget skrevet i denne artikel, da det kræver at se på en masse tekniske ting, men hvis du tror, ​​at der er et program på din computer, der ikke burde være der, der kommunikerer hemmeligt På Internettet hjælper metoderne herunder dig med at identificere noget usædvanligt.

Det er værd at bemærke, at en computer, der kører et operativsystem som Windows med et par programmer installeret, ender med at oprette en masse forbindelser til eksterne servere som standard. For eksempel på min Windows 10-maskine efter en genstart og uden programmer, der kører, oprettes flere forbindelser af Windows selv, herunder OneDrive, Cortana og endda desktop-søgning. Læs min artikel om sikring af Windows 10 for at lære om måder, du kan forhindre Windows 10 i at kommunikere med Microsoft-servere for ofte.

Der er tre måder, du kan gå på for at overvåge de forbindelser, din computer opretter til Internettet: via kommandoprompten, ved hjælp af Resource Monitor eller via tredjepartsprogrammer. Jeg vil nævne kommandoprompten sidst, da det er det mest tekniske og sværeste at dechifrere.

Ressource Monitor

Den nemmeste måde at tjekke alle de forbindelser, din computer foretager, er at bruge Resource Monitor. For at åbne det skal du klikke på Start og derefter skrive ressource monitor. Du vil se flere faner på toppen, og den, vi vil klikke på, er Netværk.

ressource monitor

På denne fane ser du flere sektioner med forskellige typer data: Processer med netværksaktivitet, netværksaktivitet, TCP-forbindelser og lytteporte.

ressource monitor processer

Alle de data, der er anført på disse skærme, opdateres i realtid. Du kan klikke på en overskrift i en hvilken som helst kolonne for at sortere dataene i stigende eller faldende rækkefølge. I sektionen Processer med netværksaktivitet inkluderer listen alle de processer, der har nogen form for netværksaktivitet. Du kan også se den samlede mængde data, der er sendt og modtaget i byte pr. Sekund for hver proces. Du vil bemærke, at der er et tomt afkrydsningsfelt ud for hver proces, der kan bruges som et filter til alle de andre sektioner.

For eksempel var jeg ikke sikker på, hvad nvstreamsvc.exe var, så jeg kontrollerede det og kiggede derefter på dataene i de andre sektioner. Under Netværksaktivitet vil du se på feltet Adresse, som skal give dig en IP-adresse eller DNS-navnet på fjernserveren.

filter proces ressource monitor

I sig selv hjælper oplysningerne her ikke nødvendigvis dig med at finde ud af, om noget er godt eller dårligt. Du skal bruge nogle tredjepartswebsteder til at hjælpe dig med at identificere processen. For det første, hvis du ikke genkender et procesnavn, skal du gå videre og Google det ved hjælp af det fulde navn, dvs. nvstreamsvc.exe.

søg efter proces

Klik altid mindst på de første fire til fem links, så får du med det samme en god idé om, hvorvidt programmet er sikkert eller ej. I mit tilfælde var det relateret til streamingtjenesten NVIDIA, som er sikker, men ikke noget, jeg havde brug for. Specifikt er processen til streaming af spil fra din pc til NVIDIA Shield, som jeg ikke har. Desværre installerer den en masse andre funktioner, som du ikke har brug for, når du installerer NVIDIA-driveren.

Da denne service kørte i baggrunden, vidste jeg aldrig, at den eksisterede. Det dukkede ikke op i GeForce-panelet, og så antog jeg, at jeg lige havde installeret driveren. Når jeg indså, at jeg ikke havde brug for denne service, var jeg i stand til at afinstallere noget NVIDIA-software og slippe af med tjenesten, som kommunikerede på netværket hele tiden, selvom jeg aldrig brugte den. Så det er et eksempel på, hvordan grave i hver proces kan hjælpe dig ikke kun med at identificere mulig malware, men også fjerne unødvendige tjenester, der muligvis kan udnyttes af hackere.

For det andet skal du slå op IP-adressen eller DNS-navnet, der er anført i feltet Adresse. Du kan tjekke et værktøj som DomainTools, som giver dig de oplysninger, du har brug for. Under Netværksaktivitet bemærkede jeg for eksempel, at processen steam.exe opretter forbindelse til IP-adresse 208.78.164.10. Da jeg tilsluttede det til ovennævnte værktøj, var jeg glad for at høre, at domænet styres af Valve, som er det firma, der ejer Steam.

whois ip adresse

Hvis du ser, at en IP-adresse opretter forbindelse til en server i Kina eller Rusland eller et andet underligt sted, har du muligvis et problem. Googling af processen fører normalt til artikler om, hvordan du fjerner den ondsindede software.

Tredjeparts programmer

Resource Monitor er stor og giver dig en masse info, men der er andre værktøjer, der kan give dig lidt mere information. De to værktøjer, som jeg anbefaler, er TCPView og CurrPorts. Begge ser stort set nøjagtigt de samme ud, bortset fra at CurrPorts giver dig en hel masse flere data. Her er et skærmbillede af TCPView:

TCPView

De rækker, du for det meste er interesseret i, er dem, der har en tilstand, der er etableret. Du kan højreklikke på en række for at afslutte processen eller lukke forbindelsen. Her er et skærmbillede af CurrPorts:

currports

Se igen på ESTABLISEDE forbindelser, når du gennemser listen. Som du kan se fra rullebjælken i bunden, er der mange flere kolonner til hver proces i CurrPorts. Du kan virkelig få en masse information ved hjælp af disse programmer.

Kommandolinje

Endelig er der kommandolinjen. Vi vil bruge netstat-kommandoen til at give os detaljerede oplysninger om alle de nuværende netværksforbindelser, der sendes til en TXT-fil. Oplysningerne er dybest set en undergruppe af, hvad du får fra Resource Monitor eller tredjepartsprogrammer, så de er virkelig kun nyttige til teknologier.

Her er et hurtigt eksempel. Åbn først en kommandoprompt til administrator, og skriv følgende kommando:

netstat -abfot 5> c: \ aktivitet.txt
netstat-kommando

Vent et minut eller to, og tryk derefter på CTRL + C på dit tastatur for at stoppe optagelsen. Netstat-kommandoen ovenfor vil dybest set fange alle netværksforbindelsesdata hvert femte sekund og gemme dem i tekstfilen. Delen –abfot er en masse parametre, så vi kan få ekstra information i filen. Her er hvad hver parameter betyder, hvis du er interesseret.

netstat kommandohjælp

Når du åbner filen, vil du se stort set de samme oplysninger, som vi fik fra de to andre metoder ovenfor: procesnavn, protokol, lokale og eksterne portnumre, ekstern IP-adresse / DNS-navn, forbindelsestilstand, proces-id osv. .

netstat output

Igen er alle disse data et første skridt til at bestemme, om noget fiskigt foregår eller ej. Du bliver nødt til at gøre en masse Googling, men det er den bedste måde at vide, om nogen snupper på dig, eller hvis malware sender data fra din computer til en fjernserver. Hvis du har spørgsmål, er du velkommen til at kommentere. God fornøjelse!