Övervaka dolda webbplatser och internetanslutningar

Du kan vara ganska säker på att din dator är ansluten till servern som är värd för min webbplats när du läser den här artikeln, men utöver de uppenbara kopplingarna till de webbplatser som är öppna i din webbläsare, kan din dator ansluta till en mängd andra servrar som inte syns.

För det mesta kommer du verkligen inte att vilja göra något som står i den här artikeln eftersom det kräver att du tittar på en massa tekniska saker, men om du tror att det finns ett program på din dator som inte borde vara där och kommunicera i hemlighet på Internet hjälper metoderna nedan dig att identifiera något ovanligt.

Det är värt att notera att en dator som kör ett operativsystem som Windows med ett fåtal program installerade kommer att göra många anslutningar till externa servrar som standard. Till exempel, på min Windows 10-maskin efter en omstart och utan program som körs, görs flera anslutningar av Windows själv, inklusive OneDrive , Cortana och till och med skrivbordssökning. Läs min artikel om att säkra Windows 10(securing Windows 10) för att lära dig om hur du kan förhindra att Windows 10 kommunicerar med Microsofts(Microsoft) servrar för ofta.

Det finns tre sätt du kan gå tillväga för att övervaka anslutningarna som din dator gör till Internet : via kommandotolken, med hjälp av Resource Monitor eller via tredjepartsprogram. Jag kommer att nämna kommandotolken sist eftersom det är det mest tekniska och svåraste att tyda.

Resursövervakare

Det enklaste sättet att kolla upp alla anslutningar som din dator gör är att använda Resource Monitor . För att öppna den måste du klicka på Start och sedan skriva in  resursmonitor(resource monitor) . Du kommer att se flera flikar längst upp och den vi vill klicka på är Nätverk(Network) .

resursövervakare

På den här fliken ser du flera avsnitt med olika typer av data: Processer med nätverksaktivitet(Processes with Network Activity) , nätverksaktivitet(Network Activity) , TCP-anslutningar( TCP Connections) och lyssningsportar( Listening Ports) .

resursövervakningsprocesser

All data som listas på dessa skärmar uppdateras i realtid. Du kan klicka på en rubrik i valfri kolumn för att sortera data i stigande eller fallande ordning. I avsnittet Processer med nätverksaktivitet (Processes with Network Activity ) innehåller listan alla processer som har någon form av nätverksaktivitet. Du kommer också att kunna se den totala mängden data som skickas och tas emot i byte per sekund för varje process. Du kommer att märka att det finns en tom kryssruta bredvid varje process, som kan användas som ett filter för alla andra avsnitt.

Till exempel var jag inte säker på vad nvstreamsvc.exe var, så jag kontrollerade det och tittade sedan på data i de andra avsnitten. Under Nätverksaktivitet(Network Activity) vill du titta på adressfältet(Address)  , som ska ge dig en IP-adress eller fjärrserverns DNS- namn.(DNS)

filter process resurs monitor

I och för sig hjälper informationen här inte nödvändigtvis dig att ta reda på om något är bra eller dåligt. Du måste använda vissa tredjepartswebbplatser för att hjälpa dig identifiera processen. För det första, om du inte känner igen ett processnamn, fortsätt och googla(Google) det med hela namnet, dvs nvstreamsvc.exe .

sök efter process

Klicka alltid igenom åtminstone de första fyra till fem länkarna så får du omedelbart en god uppfattning om huruvida programmet är säkert eller inte. I mitt fall var det relaterat till streamingtjänsten NVIDIA , som är säker, men inte något jag behövde. (NVIDIA)Specifikt är processen för att strömma spel från din PC till NVIDIA Shield , som jag inte har. Tyvärr, när du installerar NVIDIA- drivrutinen installerar den många andra funktioner som du inte behöver.

Eftersom den här tjänsten kördes i bakgrunden visste jag aldrig att den fanns. Det dök inte upp i GeForce -panelen och så jag antog att jag bara hade installerat drivrutinen. När jag insåg att jag inte behövde den här tjänsten kunde jag avinstallera en del NVIDIA -programvara och bli av med tjänsten, som kommunicerade på nätverket hela tiden, även om jag aldrig använt den. Så det är ett exempel på hur att gräva i varje process kan hjälpa dig att inte bara identifiera eventuell skadlig programvara, utan också ta bort onödiga tjänster som eventuellt kan utnyttjas av hackare.

För det andra bör du slå upp IP-adressen eller DNS (Address)-(DNS) namnet i adressfältet . Du kan kolla in ett verktyg som DomainTools , som ger dig den information du behöver. Till exempel, under Nätverksaktivitet(Network Activity) märkte jag att steam.exe-processen ansluter till IP-adress 208.78.164.10. När jag kopplade in det i verktyget som nämns ovan, blev jag glad över att veta att domänen kontrolleras av Valve , som är företaget som äger Steam .

whois ip-adress

Om du ser att en IP-adress ansluter till en server i Kina(China) eller Ryssland(Russia) eller någon annan konstig plats, kan du ha ett problem. Att googla på processen kommer normalt att leda dig till artiklar om hur du tar bort den skadliga programvaran.

Tredjepartsprogram

Resource Monitor är bra och ger dig mycket information, men det finns andra verktyg som kan ge dig lite mer information. De två verktyg som jag rekommenderar är TCPView och CurrPorts . Båda ser ungefär likadana ut, förutom att CurrPorts ger dig mycket mer data. Här är en skärmdump av TCPView:

tcpview

De rader du är mest intresserad av är de som har(ESTABLISHED) statusen ETABLISHED(State) . Du kan högerklicka på valfri rad för att avsluta processen eller stänga anslutningen. Här är en skärmdump av CurrPorts:

kurser

Återigen, titta på ETABLERADE(ESTABLISHED) anslutningar när du bläddrar igenom listan. Som du kan se från rullningslisten längst ner finns det många fler kolumner för varje process i CurrPorts . Du kan verkligen få mycket information med dessa program.

Kommandorad

Slutligen finns det kommandoraden. Vi kommer att använda kommandot netstat för att ge oss detaljerad information om alla aktuella nätverksanslutningar som matas ut till en TXT -fil. Informationen är i princip en delmängd av vad du får från Resource Monitor eller tredjepartsprogram, så den är egentligen bara användbar för tekniker.

Här är ett snabbt exempel. Öppna först(First) en administratörskommandotolk(Administrator) och skriv in följande kommando:

netstat -abfot 5 > c:\activity.txt

netstat kommando

Vänta(Wait) i ungefär en minut eller två och tryck sedan på CTRL + C på ditt tangentbord för att stoppa inspelningen. Netstat-kommandot ovan kommer i princip att fånga all nätverksanslutningsdata var femte sekund och spara den i textfilen. – abfot- delen är ett gäng parametrar så att vi kan få extra information i filen. Här är vad varje parameter betyder, om du är intresserad.

netstat kommando hjälp

När du öppnar filen kommer du att se ungefär samma information som vi fick från de andra två metoderna ovan: processnamn, protokoll, lokala och fjärrportnummer, fjärr IP Address/DNS namn, anslutningstillstånd, process-ID, etc. .

netstat-utgång

Återigen(Again) , all denna information är ett första steg för att avgöra om något skumt pågår eller inte. Du kommer att behöva googla(Googling) mycket , men det är det bästa sättet att veta om någon snokar efter dig eller om skadlig programvara skickar data från din dator till någon fjärrserver. Om du har några frågor, kommentera gärna. Njut av!



About the author

Jag är en datorexpert med över 10 års erfarenhet inom mjukvaru- och webbläsarindustrin. Jag har designat, byggt och hanterat hela installationer av mjukvaruprogram, samt utvecklat och underhållit webbläsare. Min erfarenhet ger mig förmågan att ge tydliga, koncisa förklaringar av komplicerade ämnen – oavsett om det är hur Microsoft Office fungerar eller hur man får ut det mesta av Mozilla Firefox. Utöver mina datorkunskaper är jag också en skicklig skribent och kan kommunicera effektivt online och personligen.



Related posts