คุณสามารถมั่นใจได้ว่าคอมพิวเตอร์ของคุณเชื่อมต่อกับเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ของฉันเมื่อคุณอ่านบทความนี้ แต่นอกเหนือจากการเชื่อมต่อที่เห็นได้ชัดกับเว็บไซต์ที่เปิดอยู่ในเว็บเบราเซอร์คอมพิวเตอร์ของคุณอาจเชื่อมต่อกับโฮสต์ทั้งหมด ของเซิร์ฟเวอร์อื่นที่ไม่สามารถมองเห็นได้
ส่วนมากแล้วคุณจะไม่อยากทำอะไรที่เขียนในบทความนี้เนื่องจากต้องดูข้อมูลทางเทคนิคมากมาย แต่ถ้าคุณคิด มีโปรแกรมในคอมพิวเตอร์ของคุณที่ไม่ควรมีการสื่อสารแบบแอบบนอินเทอร์เน็ตวิธีการด้านล่างนี้จะช่วยคุณระบุสิ่งที่ผิดปกติ
เป็นที่น่าสังเกตว่าคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการเช่น Windows ที่มี ติดตั้งไม่กี่โปรแกรมจะทำให้การเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเป็นไปอย่างผิดพลาดโดยค่าเริ่มต้น ตัวอย่างเช่นในเครื่อง Windows 10 ของฉันหลังจากรีบูตเครื่องและไม่มีโปรแกรมที่กำลังทำงานอยู่การเชื่อมต่อหลายอย่างจะทำโดย Windows เองรวมถึง OneDrive, Cortana และแม้กระทั่งการค้นหาบนเดสก์ท็อป อ่านบทความของฉันเกี่ยวกับ การรักษาความปลอดภัย Windows 10 เพื่อเรียนรู้เกี่ยวกับวิธีที่คุณสามารถป้องกันไม่ให้ Windows 10 ติดต่อสื่อสารกับเซิร์ฟเวอร์ของ Microsoft บ่อยเกินไป
มีสามวิธีที่คุณสามารถทำได้เกี่ยวกับการตรวจสอบการเชื่อมต่อที่คอมพิวเตอร์ของคุณ ทำให้อินเทอร์เน็ต: ผ่านพรอมต์คำสั่งโดยใช้ตัวตรวจสอบทรัพยากรหรือผ่านทางโปรแกรมของ บริษัท อื่น ฉันจะพูดถึงพรอมต์คำสั่งล่าสุดเนื่องจากเป็นเทคนิคที่ยากที่สุดในการถอดรหัส
Resource Monitor
วิธีที่ง่ายที่สุดในการตรวจสอบการเชื่อมต่อทั้งหมดที่คอมพิวเตอร์ของคุณทำคือ เพื่อใช้ Resource Monitorในการเปิดไฟล์คุณต้องคลิกที่เริ่มจากนั้นพิมพ์ จอภาพทรัพยากรคุณจะเห็นแท็บต่างๆด้านบนและช่องที่เราต้องการคลิกคือ เครือข่าย
แท็บนี้คุณจะเห็นส่วนต่างๆที่มีประเภทข้อมูลดังนี้ กระบวนการที่มีกิจกรรมเครือข่ายกิจกรรมเครือข่ายการเชื่อมต่อ TCPและ พอร์ตการฟัง
ข้อมูลทั้งหมดที่แสดงในหน้าจอเหล่านี้ได้รับการอัปเดตในแบบเรียลไทม์ คุณสามารถคลิกที่ส่วนหัวในคอลัมน์ใดก็ได้เพื่อจัดเรียงข้อมูลตามลำดับจากน้อยไปมากหรือมากไปน้อย ในส่วน กระบวนการที่มีกิจกรรมเครือข่ายรายการจะมีกระบวนการทั้งหมดที่มีกิจกรรมเครือข่ายอยู่ด้วย นอกจากนี้คุณยังสามารถดูจำนวนข้อมูลที่ส่งและรับเป็นไบต์ต่อวินาทีสำหรับแต่ละกระบวนการ คุณจะเห็นช่องว่างที่อยู่ถัดจากแต่ละโพรเซสซึ่งสามารถใช้เป็นตัวกรองสำหรับส่วนอื่น ๆ
ตัวอย่างเช่นผมไม่แน่ใจว่า nvstreamsvc.exe ดังนั้นฉันจึงตรวจสอบแล้วดูข้อมูลในส่วนอื่น ๆ ภายใต้กิจกรรมเครือข่ายคุณต้องการดูฟิลด์ ที่อยู่ซึ่งควรให้ที่อยู่ IP หรือชื่อ DNS ของเซิร์ฟเวอร์ระยะไกล
ในตัวของมันเองข้อมูลที่นี่ไม่จำเป็นต้องช่วยให้คุณเข้าใจว่ามีบางอย่างที่ดีหรือไม่ดี คุณต้องใช้เว็บไซต์ของบุคคลที่สามเพื่อช่วยในการระบุกระบวนการ ประการแรกถ้าคุณไม่รู้จักชื่อกระบวนการให้ดำเนินการต่อและ Google ใช้ชื่อเต็มว่า nvstreamsvc.exe
เสมอคลิกผ่านอย่างน้อยสี่ถึงสี่ลิงก์แรกและคุณจะได้รับทราบทันทีว่าโปรแกรมมีความปลอดภัยหรือไม่ ในกรณีของฉันเกี่ยวข้องกับบริการสตรีมมิ่ง NVIDIA ซึ่งมีความปลอดภัย แต่ไม่ใช่สิ่งที่ฉันต้องการ โดยเฉพาะกระบวนการนี้ใช้สำหรับสตรีมมิ่งเกมจากคอมพิวเตอร์ของคุณไปยัง NVIDIA Shield ซึ่งผมไม่มี เมื่อติดตั้งไดรเวอร์ NVIDIA จะติดตั้งคุณลักษณะอื่น ๆ ที่คุณไม่ต้องการ
เนื่องจากบริการนี้ทำงานในแบ็กกราวด์ฉันไม่เคยรู้ว่ามีอยู่จริง ไม่ได้แสดงในแผง GeForce และฉันคิดว่าฉันเพิ่งติดตั้งไดรเวอร์ไว้ เมื่อฉันตระหนักว่าฉันไม่ต้องการบริการนี้ฉันสามารถถอนการติดตั้งซอฟต์แวร์ NVIDIA บางส่วนและกำจัดบริการซึ่งกำลังสื่อสารอยู่ในเครือข่ายอยู่ตลอดเวลาแม้ว่าฉันจะไม่เคยใช้งานก็ตาม นี่เป็นตัวอย่างหนึ่งของการขุดเจาะแต่ละขั้นตอนเพื่อช่วยในการระบุมัลแวร์ที่เป็นไปได้ แต่ยังสามารถลบบริการที่ไม่จำเป็นออกไปซึ่งแฮ็กเกอร์สามารถใช้ประโยชน์ได้
ประการที่สองคุณควรค้นหาที่อยู่ IP หรือ DNS ชื่อที่ระบุในฟิลด์ ที่อยู่คุณสามารถตรวจสอบเครื่องมือเช่น DomainTools ซึ่งจะให้ข้อมูลที่คุณต้องการ ตัวอย่างเช่นใน Network Activity ฉันสังเกตเห็นว่ากระบวนการ steam.exe กำลังเชื่อมต่อกับที่อยู่ IP 208.78.164.10 เมื่อฉันเสียบปลั๊กเข้ากับเครื่องมือดังกล่าวข้างต้นแล้วฉันยินดีที่ทราบว่าโดเมนถูกควบคุมโดย Valve ซึ่งเป็น บริษัท ที่เป็นเจ้าของไอน้ำ
หากคุณเห็นที่อยู่ IP กำลังเชื่อมต่อกับเซิร์ฟเวอร์ในประเทศจีนหรือรัสเซียหรือสถานที่แปลก ๆ อื่น ๆ คุณอาจมีปัญหา การดำเนินการตามกระบวนการนี้จะนำคุณไปสู่บทความเกี่ยวกับวิธีลบซอฟต์แวร์ที่เป็นอันตรายออก
โปรแกรมของบุคคลที่สาม
การตรวจสอบทรัพยากรทำได้ดีมากและให้ข้อมูลมากมาย แต่มีข้อมูลอื่น ๆ เครื่องมือที่สามารถให้ข้อมูลเพิ่มเติมได้เล็กน้อย เครื่องมือสองอย่างที่ผมแนะนำคือ TCPView และ CurrPorts ทั้งสองดูสวยเหมือนเดิมยกเว้น CurrPorts จะให้ข้อมูลทั้งหมดมากขึ้น ต่อไปนี้เป็นภาพหน้าจอของ TCPView:
แถวที่คุณสนใจส่วนใหญ่เป็นภาพที่มีสถานะ ก่อตั้งขึ้นคุณสามารถคลิกขวาที่แถวใดก็ได้เพื่อสิ้นสุดกระบวนการหรือปิดการเชื่อมต่อ นี่คือภาพหน้าจอของ CurrPorts:
อีกครั้งให้ดูที่การเชื่อมต่อ ESTABLISHEDเมื่อเรียกดูจากรายการ ดังที่คุณเห็นจากแถบเลื่อนที่ด้านล่างมีคอลัมน์จำนวนมากสำหรับแต่ละโพรเซสใน CurrPorts คุณสามารถรับข้อมูลได้มากโดยใช้โปรแกรมเหล่านี้
Command Line
สุดท้ายมีบรรทัดคำสั่ง เราจะใช้คำสั่ง netstatเพื่อให้ข้อมูลรายละเอียดเกี่ยวกับการเชื่อมต่อเครือข่ายปัจจุบันทั้งหมดที่ส่งออกไปยังไฟล์ TXT ข้อมูลนี้เป็นส่วนย่อยของสิ่งที่คุณได้รับจาก Resource Monitor หรือโปรแกรมของบุคคลที่สามดังนั้นจึงมีประโยชน์สำหรับ techies เท่านั้น
ต่อไปนี้เป็นตัวอย่างที่รวดเร็ว ขั้นแรกให้เปิดพรอมต์คำสั่งของผู้ดูแลระบบแล้วพิมพ์คำสั่งต่อไปนี้:
netstat -abfot 5 > c:\activity.txt
รอสักครู่หรือสองนาทีแล้วกด CTRL + C เพื่อหยุดการจับภาพ คำสั่ง netstat ข้างต้นจะจับข้อมูลการเชื่อมต่อเครือข่ายทั้งหมดทุกๆ 5 วินาทีและบันทึกลงในไฟล์ข้อความ ส่วน - abfotเป็นพวงของพารามิเตอร์เพื่อให้เราสามารถรับข้อมูลเพิ่มเติมในไฟล์ นี่คือสิ่งที่แต่ละพารามิเตอร์หมายถึงในกรณีที่คุณสนใจ
เมื่อคุณเปิดไฟล์คุณจะเห็นข้อมูลเดียวกันมาก ที่เราได้รับจากอีกสองวิธีข้างต้นคือชื่อกระบวนการโปรโตคอลหมายเลขพอร์ตภายในและระยะไกลที่อยู่ IP ระยะไกล / ชื่อ DNS สถานะการเชื่อมต่อรหัสกระบวนการ ฯลฯ
อีกครั้งข้อมูลทั้งหมดนี้เป็นขั้นตอนแรกในการพิจารณาว่าจะมีบางอย่างที่น่าตกใจหรือไม่ คุณต้องใช้ Googling เป็นจำนวนมาก แต่เป็นวิธีที่ดีที่สุดในการทราบว่ามีใครแอบตรวจสอบหรือไม่หรือมัลแวร์กำลังส่งข้อมูลจากคอมพิวเตอร์ของคุณไปยังเซิร์ฟเวอร์ระยะไกลบางอัน หากคุณมีคำถามใด ๆ คุณสามารถแสดงความคิดเห็นได้ สนุก!