Bạn có thể chắc chắn rằng máy tính của bạn được kết nối với máy chủ lưu trữ trang web của tôi khi bạn đọc bài viết này, nhưng ngoài các kết nối rõ ràng tới các trang web đang mở trong trình duyệt web của bạn, máy tính của bạn có thể đang kết nối với toàn bộ máy chủ của các máy chủ khác không hiển thị.
Hầu hết thời gian, bạn thực sự không muốn làm bất kỳ điều gì được viết trong bài viết này vì nó yêu cầu xem nhiều thứ kỹ thuật, nhưng nếu bạn nghĩ có một chương trình trên máy tính của bạn không nên liên lạc bí mật trên Internet, các phương pháp bên dưới sẽ giúp bạn xác định bất kỳ điều gì bất thường.
Cần lưu ý rằng máy tính đang chạy hệ điều hành như Windows với vài chương trình được cài đặt sẽ kết thúc tạo nhiều kết nối tới các máy chủ bên ngoài theo mặc định. Ví dụ, trên máy tính Windows 10 của tôi sau khi khởi động lại và không có chương trình nào đang chạy, một số kết nối được tạo bởi chính Windows, bao gồm OneDrive, Cortana và thậm chí cả tìm kiếm trên máy tính để bàn. Đọc bài viết của tôi về bảo mật Windows 10 để tìm hiểu về cách bạn có thể ngăn Windows 10 giao tiếp với máy chủ Microsoft quá thường xuyên.
Có ba cách bạn có thể thực hiện theo dõi các kết nối mà máy tính của bạn làm cho Internet: thông qua dấu nhắc lệnh, sử dụng Resource Monitor hoặc thông qua các chương trình của bên thứ ba. Tôi sẽ đề cập đến dấu nhắc lệnh cuối cùng vì đó là kỹ thuật và khó nhất để giải mã.
Trình theo dõi tài nguyên
Cách dễ nhất để kiểm tra tất cả các kết nối mà máy tính của bạn đang thực hiện là để sử dụng Trình theo dõi tài nguyên. Để mở nó, bạn phải bấm vào Start và sau đó gõ vào màn hình tài nguyên. Bạn sẽ thấy một số tab trên đầu và tab chúng tôi muốn nhấp vào là Mạng.
Bật tab này, bạn sẽ thấy một số phần có các loại dữ liệu khác nhau: Quy trình có Hoạt động mạng, Hoạt động mạng, Kết nối TCPvà Các cổng nghe.
Tất cả dữ liệu được liệt kê trong các màn hình này đều được cập nhật theo thời gian thực. Bạn có thể nhấp vào tiêu đề trong bất kỳ cột nào để sắp xếp dữ liệu theo thứ tự tăng dần hoặc giảm dần. Trong phần Quy trình với hoạt động mạng, danh sách bao gồm tất cả các quy trình có bất kỳ loại hoạt động mạng nào. Bạn cũng sẽ có thể xem tổng số lượng dữ liệu được gửi và nhận theo byte mỗi giây cho mỗi quy trình. Bạn sẽ nhận thấy có một hộp kiểm trống bên cạnh mỗi quy trình, có thể được sử dụng làm bộ lọc cho tất cả các phần khác.
Ví dụ: tôi không chắc chắn nvstreamsvc.exe là, vì vậy tôi đã kiểm tra và sau đó xem dữ liệu trong các phần khác. Trong Hoạt động mạng, bạn muốn xem trường Địa chỉ, trường này sẽ cung cấp cho bạn địa chỉ IP hoặc tên DNS của máy chủ từ xa.
Và bản thân nó, thông tin ở đây sẽ không nhất thiết giúp bạn tìm hiểu xem cái gì là tốt hay xấu. Bạn phải sử dụng một số trang web của bên thứ ba để giúp bạn xác định quy trình. Thứ nhất, nếu bạn không nhận ra tên quy trình, hãy tiếp tục và Google sử dụng tên đầy đủ, tức là nvstreamsvc.exe.
Luôn, nhấp qua ít nhất bốn đến năm liên kết đầu tiên và bạn sẽ ngay lập tức có ý tưởng tốt về việc chương trình có an toàn hay không. Trong trường hợp của tôi, nó liên quan đến dịch vụ trực tuyến NVIDIA, an toàn, nhưng không phải thứ tôi cần. Cụ thể, quá trình này là để truyền trực tuyến trò chơi từ PC của bạn đến NVIDIA Shield mà tôi không có. Thật không may, khi bạn cài đặt trình điều khiển NVIDIA, nó sẽ cài đặt rất nhiều tính năng khác mà bạn không cần.
Vì dịch vụ này chạy trong nền, tôi chưa bao giờ biết nó tồn tại. Nó không hiển thị trong bảng GeForce và vì vậy tôi cho rằng tôi đã cài đặt trình điều khiển. Khi tôi nhận ra mình không cần dịch vụ này, tôi có thể gỡ cài đặt một số phần mềm NVIDIA và loại bỏ dịch vụ, giao tiếp trên mạng mọi lúc, mặc dù tôi chưa bao giờ sử dụng nó. Vì vậy, đó là một ví dụ về cách đào sâu vào mỗi quy trình có thể giúp bạn không chỉ xác định phần mềm độc hại có thể, mà còn xóa các dịch vụ không cần thiết có thể bị hacker tấn công.
Thứ hai, bạn nên tra cứu địa chỉ IP hoặc DNS tên được liệt kê trong trường Địa chỉ. Bạn có thể kiểm tra một công cụ như DomainTools, công cụ này sẽ cung cấp cho bạn thông tin bạn cần. Ví dụ, dưới Network Activity, tôi nhận thấy rằng quá trình steam.exe đang kết nối với địa chỉ IP 208.78.164.10. Khi tôi cắm nó vào công cụ được đề cập ở trên, tôi rất vui khi biết rằng miền được điều khiển bởi Valve, công ty sở hữu Steam.
Nếu bạn thấy địa chỉ IP đang kết nối với máy chủ ở Trung Quốc hoặc Nga hoặc một số vị trí lạ khác, bạn có thể gặp sự cố. Quá trình tìm kiếm thông thường sẽ dẫn bạn đến các bài viết về cách xóa phần mềm độc hại.
Chương trình bên thứ ba
Trình theo dõi tài nguyên rất tuyệt vời và cung cấp cho bạn nhiều thông tin, nhưng có các công cụ có thể cung cấp cho bạn thêm một chút thông tin. Hai công cụ mà tôi đề xuất là TCPView và CurrPorts. Cả hai trông khá giống nhau, ngoại trừ CurrPorts cung cấp cho bạn nhiều dữ liệu hơn. Dưới đây là ảnh chụp màn hình của TCPView:
Các hàng bạn quan tâm chủ yếu là những hàng có Tiểu bangcủa THÀNH LẬP. Bạn có thể nhấp chuột phải vào bất kỳ hàng nào để kết thúc quá trình hoặc đóng kết nối. Dưới đây là ảnh chụp màn hình của CurrPorts:
Một lần nữa, hãy xem các kết nối ESTABLISHEDkhi duyệt qua danh sách. Như bạn thấy từ thanh cuộn ở phía dưới, có nhiều cột hơn cho mỗi tiến trình trong CurrPorts. Bạn thực sự có thể nhận được rất nhiều thông tin bằng cách sử dụng các chương trình này.
Dòng lệnh
Cuối cùng, có dòng lệnh. Chúng tôi sẽ sử dụng lệnh netstatđể cung cấp cho chúng tôi thông tin chi tiết về tất cả các kết nối mạng hiện tại được xuất ra tệp TXT. Thông tin về cơ bản là một tập hợp con những gì bạn nhận được từ Trình theo dõi tài nguyên hoặc các chương trình của bên thứ ba, vì vậy nó thực sự chỉ hữu ích cho các chuyên viên kỹ thuật.
Sau đây là ví dụ nhanh. Đầu tiên, mở dấu nhắc lệnh Administrator và gõ vào lệnh sau:
netstat -abfot 5 > c:\activity.txt
Đợi khoảng một hoặc hai phút rồi nhấn CTRL + C trên bàn phím để dừng chụp. Lệnh netstat ở trên về cơ bản sẽ nắm bắt tất cả dữ liệu kết nối mạng sau mỗi năm giây và lưu nó vào tệp văn bản. Phần abfotlà một loạt các tham số để chúng tôi có thể nhận thêm thông tin trong tệp. Dưới đây là ý nghĩa của mỗi tham số, trong trường hợp bạn quan tâm.
Khi bạn mở tệp, bạn sẽ thấy khá nhiều thông tin tương tự mà chúng tôi nhận được từ hai phương pháp khác ở trên: tên quy trình, giao thức, số cổng địa phương và từ xa, địa chỉ IP / tên DNS từ xa, trạng thái kết nối, ID tiến trình, v.v ...
Một lần nữa, tất cả các dữ liệu này là một bước đầu tiên để xác định liệu có điều gì đó đang xảy ra hay không. Bạn sẽ phải làm rất nhiều Googling, nhưng đó là cách tốt nhất để biết nếu ai đó đang rình mò bạn hoặc nếu phần mềm độc hại đang gửi dữ liệu từ máy tính của bạn đến một số máy chủ từ xa. Nếu bạn có bất kỳ câu hỏi nào, hãy bình luận. Hãy tận hưởng!