Puoi essere abbastanza sicuro che il tuo computer sia collegato al server che ospita il mio sito web mentre leggi questo articolo, ma oltre alle ovvie connessioni ai siti aperti nel tuo browser web, il tuo computer potrebbe essere connesso a un intero host di altri server che non sono visibili.
La maggior parte delle volte, non hai intenzione di scrivere nulla in questo articolo poiché richiede un sacco di materiale tecnico, ma se pensi c'è un programma sul tuo computer che non dovrebbe essere lì che comunica segretamente su Internet, i metodi seguenti ti aiuteranno a identificare qualcosa di insolito.
Vale la pena notare che un computer che esegue un sistema operativo come Windows con un alcuni programmi installati finiranno per fare molte connessioni ai server esterni per impostazione predefinita. Ad esempio, sul mio computer Windows 10 dopo un riavvio e senza programmi in esecuzione, diverse connessioni sono fatte da Windows stesso, tra cui OneDrive, Cortana e anche la ricerca desktop. Leggi il mio articolo su protezione di Windows 10 per scoprire come evitare che Windows 10 comunichi troppo spesso con i server Microsoft.
Ci sono tre modi per monitorare le connessioni che il tuo computer ha effettua la connessione a Internet: tramite il prompt dei comandi, utilizzando Monitor risorse o programmi di terze parti. Il prompt dei comandi è da ultimo considerato il più tecnico e difficile da decifrare.
Monitoraggio risorse
Il modo più semplice per verificare tutte le connessioni che il tuo computer sta facendo è utilizzare Monitoraggio risorse. Per aprirlo, devi fare clic su Start e quindi digitare monitor risorse. Vedrai diverse schede nella parte superiore e quella su cui vogliamo fare clic è Rete.
Sì questa scheda, vedrai diverse sezioni con diversi tipi di dati: Processi con attività di rete, Attività di rete, Connessioni TCPe Porte di ascolto.
Tutti i dati elencati in queste schermate vengono aggiornati in tempo reale. Puoi fare clic su un'intestazione in qualsiasi colonna per ordinare i dati in ordine crescente o decrescente. Nella sezione Processi con attività di rete, l'elenco include tutti i processi che hanno qualsiasi tipo di attività di rete. Potrai anche vedere la quantità totale di dati inviati e ricevuti in byte al secondo per ogni processo. Noterai che c'è una casella vuota accanto a ciascun processo, che può essere usata come filtro per tutte le altre sezioni.
Ad esempio, non ero sicuro di cosa nvstreamsvc.exe era, quindi l'ho controllato e poi ho guardato i dati nelle altre sezioni. In Attività di rete, si desidera esaminare il campo Indirizzo, che dovrebbe fornire un indirizzo IP o il nome DNS del server remoto.
Di per sé, le informazioni qui non ti aiuteranno necessariamente a capire se qualcosa è buono o cattivo. Devi utilizzare alcuni siti Web di terze parti per aiutarti a identificare il processo. Innanzitutto, se non riconosci il nome di un processo, procedi con Google utilizzando il nome completo, ad esempio nvstreamsvc.exe.
Fai sempre clic almeno sui primi quattro o cinque collegamenti e ti renderai immediatamente conto se il programma è sicuro o meno. Nel mio caso, era correlato al servizio di streaming NVIDIA, che è sicuro, ma non qualcosa di cui avevo bisogno. In particolare, il processo è per lo streaming di giochi dal PC a NVIDIA Shield, che non ho. Sfortunatamente, quando installi il driver NVIDIA, installa molte altre funzionalità che non ti servono.
Poiché questo servizio viene eseguito in background, non ho mai saputo che esistesse. Non è comparso nel pannello GeForce e quindi ho pensato di aver installato il driver. Una volta capito che non avevo bisogno di questo servizio, sono stato in grado di disinstallare alcuni software NVIDIA e di eliminare il servizio, che comunicava continuamente in rete, anche se non l'ho mai usato. Ecco un esempio di come scavare in ogni processo può aiutare non solo a identificare possibili malware, ma anche a rimuovere servizi non necessari che potrebbero essere sfruttati dagli hacker.
In secondo luogo, dovresti cercare l'indirizzo IP o il DNS nome elencato nel campo Indirizzo. Puoi controllare uno strumento come DomainTools, che ti darà le informazioni di cui hai bisogno. Ad esempio, in Attività di rete, ho notato che il processo steam.exe si stava connettendo all'indirizzo IP 208.78.164.10. Quando l'ho inserito nello strumento di cui sopra, sono stato felice di apprendere che il dominio è controllato da Valve, che è la società proprietaria di Steam.
Se vedi che un indirizzo IP si sta connettendo a un server in Cina o in Russia o in qualche altra strana posizione, potresti avere un problema. Effettuare il googling del processo ti condurrà normalmente a articoli su come rimuovere il software dannoso.
Programmi di terze parti
Monitor risorse è ottimo e ti offre molte informazioni, ma ce ne sono altre strumenti che possono darti qualche informazione in più. I due strumenti che consiglio sono TCPView e CurrPorts. Entrambi sembrano esattamente uguali, tranne che CurrPorts ti offre molti più dati. Ecco uno screenshot di TCPView:
Le righe a cui sei maggiormente interessato sono quelle che hanno uno statodi STABILITO. È possibile fare clic con il tasto destro su una riga qualsiasi per terminare il processo o chiudere la connessione. Ecco uno screenshot di CurrPorts:
Anche in questo caso, guarda le connessioni ESTABLISHEDdurante la navigazione nell'elenco. Come puoi vedere dalla barra di scorrimento in basso, ci sono molte altre colonne per ogni processo in CurrPorts. Puoi davvero ottenere molte informazioni usando questi programmi.
Command Line
Infine, c'è la riga di comando. Useremo il comando netstatper fornirci informazioni dettagliate su tutte le connessioni di rete attuali emesse in un file TXT. L'informazione è fondamentalmente un sottoinsieme di ciò che ottieni da Monitor risorse o dai programmi di terze parti, quindi è davvero utile solo per i tecnici.
Ecco un rapido esempio. Innanzitutto, apri un prompt dei comandi dell'amministratore e digita il seguente comando:
netstat -abfot 5 > c:\activity.txt
Attendi circa un minuto o due, quindi premi CTRL + C sulla tastiera per interrompere l'acquisizione. Il comando netstat sopra basterà acquisire tutti i dati della connessione di rete ogni cinque secondi e salvarlo nel file di testo. La parte - abfotè un insieme di parametri che consente di ottenere informazioni aggiuntive nel file. Ecco cosa significa ogni parametro, nel caso tu sia interessato.
Quando apri il file, vedrai più o meno le stesse informazioni che abbiamo ottenuto dagli altri due metodi precedenti: nome del processo, protocollo, numeri di porta locali e remoti, indirizzo IP remoto / nome DNS, stato connessione, ID processo, ecc.
Ancora una volta, tutti questi dati sono il primo passo per determinare se qualcosa di pesce sta succedendo o meno. Dovrai fare molte ricerche su Google, ma è il modo migliore per sapere se qualcuno ti sta spiando o se il malware sta inviando dati dal tuo computer a un server remoto. Se avete domande, sentitevi liberi di commentare. Buon divertimento!