Vous pouvez être sûr que votre ordinateur est connecté au serveur hébergeant mon site Web pendant la lecture de cet article, mais en plus des connexions évidentes aux sites ouverts dans votre navigateur Web, votre ordinateur peut se connecter à un hôte entier d'autres serveurs qui ne sont pas visibles.
La plupart du temps, vous ne voudrez vraiment rien écrire dans cet article, car il faut regarder beaucoup de choses techniques, mais si vous pensez il y a un programme sur votre ordinateur qui ne devrait pas communiquer secrètement sur Internet, les méthodes ci-dessous vous aideront à identifier quelque chose d'inhabituel.
Il est intéressant de noter qu'un ordinateur exécutant un système d'exploitation comme Windows Quelques programmes installés finiront par faire beaucoup de connexions à des serveurs externes par défaut. Par exemple, sur mon ordinateur Windows 10 après un redémarrage et sans programmes en cours d'exécution, plusieurs connexions sont effectuées par Windows lui-même, y compris OneDrive, Cortana et même la recherche de bureau. Lisez mon article sur sécuriser Windows 10 pour savoir comment éviter que Windows 10 ne communique trop souvent avec les serveurs Microsoft.
Vous pouvez surveiller les connexions de votre ordinateur de trois manières différentes fait à l'Internet: via l'invite de commande, en utilisant le moniteur de ressources ou via des programmes tiers. Je vais mentionner l'invite de commande pour la dernière fois car c'est la plus technique et la plus difficile à déchiffrer.
Moniteur de ressources
La façon la plus simple de vérifier toutes les connexions utiliser Moniteur de ressources. Pour l'ouvrir, vous devez cliquer sur Démarrer, puis taper moniteur de ressources. Vous verrez plusieurs onglets en haut et celui sur lequel nous voulons cliquer est Réseau.
Sur Dans cet onglet, vous verrez plusieurs sections avec différents types de données: Processus avec activité réseau, Activité réseau, Connexions TCPet Ports d'écoute.
Toutes les données répertoriées dans ces écrans sont mises à jour en temps réel. Vous pouvez cliquer sur un en-tête dans n'importe quelle colonne pour trier les données dans l'ordre croissant ou décroissant. Dans la section Processus avec activité de réseau, la liste inclut tous les processus ayant un type d'activité réseau quelconque. Vous pourrez également voir la quantité totale de données envoyées et reçues en octets par seconde pour chaque processus. Vous remarquerez qu'il y a une case à cocher vide à côté de chaque processus, qui peut être utilisée comme un filtre pour toutes les autres sections.
Par exemple, je n'étais pas sûr de ce que nvstreamsvc.exe était, donc je l'ai vérifié et ensuite regardé les données dans les autres sections. Sous Activité réseau, vous voulez regarder le champ Adresse, qui devrait vous donner une adresse IP ou le nom DNS du serveur distant.
En soi, l'information ici ne vous aidera pas nécessairement à déterminer si quelque chose est bon ou mauvais. Vous devez utiliser des sites Web de tiers pour vous aider à identifier le processus. Tout d'abord, si vous ne reconnaissez pas le nom d'un processus, lancez Google et utilisez le nom complet, c'est-à-dire nvstreamsvc.exe.
Toujours cliquer au moins sur les quatre ou cinq premiers liens et vous aurez instantanément une bonne idée de la sécurité du programme. Dans mon cas, c'était lié au service de streaming NVIDIA, qui est sûr, mais pas quelque chose dont j'avais besoin. Plus précisément, le processus consiste à diffuser des jeux depuis votre PC vers le NVIDIA Shield, ce que je n'ai pas. Malheureusement, lorsque vous installez le pilote NVIDIA, il installe beaucoup d'autres fonctionnalités dont vous n'avez pas besoin.
Puisque ce service s'exécute en arrière-plan, je n'ai jamais su qu'il existait. Il n'apparaissait pas dans le panneau GeForce et j'ai donc supposé que j'avais juste installé le pilote. Une fois que je me suis rendu compte que je n'avais pas besoin de ce service, j'ai pu désinstaller certains logiciels NVIDIA et me débarrasser du service, qui communiquait tout le temps sur le réseau, même si je ne l'utilisais jamais. Voici donc un exemple de la manière dont l'exploration de chaque processus peut vous aider non seulement à identifier les logiciels malveillants potentiels, mais également à supprimer les services inutiles qui pourraient être exploités par des pirates.
Deuxièmement, vous devez rechercher l'adresse IP ou DNS nom figurant dans le champ Adresse. Vous pouvez consulter un outil tel que DomainTools, qui vous donnera les informations dont vous avez besoin. Par exemple, sous Network Activity, j'ai remarqué que le processus steam.exe se connectait à l'adresse IP 208.78.164.10. Quand j'ai branché cela dans l'outil mentionné ci-dessus, j'ai été heureux d'apprendre que le domaine est contrôlé par Valve, qui est la société propriétaire de Steam.
Si vous voyez une adresse IP se connecter à un serveur en Chine ou en Russie ou à un autre endroit étrange, vous pourriez avoir un problème. Googling le processus va normalement vous conduire à des articles sur la façon de supprimer le logiciel malveillant.
Programmes tiers
Resource Monitor est super et vous donne beaucoup d'informations, mais il y a d'autres des outils qui peuvent vous donner un peu plus d'informations. Les deux outils que je recommande sont TCPView et CurrPorts. Les deux ressemblent à peu près exactement la même chose, sauf que CurrPorts vous donne beaucoup plus de données. Voici une capture d'écran de TCPView:
Les lignes qui vous intéressent le plus sont celles qui ont un étatde ESTABLISHED. Vous pouvez faire un clic droit sur n'importe quelle ligne pour terminer le processus ou fermer la connexion. Voici une capture d'écran de CurrPorts:
Encore une fois, regardez les connexions ESTABLISHEDlorsque vous parcourez la liste. Comme vous pouvez le voir dans la barre de défilement en bas, il y a beaucoup plus de colonnes pour chaque processus dans CurrPorts. Vous pouvez vraiment obtenir beaucoup d'informations en utilisant ces programmes.
Ligne de commande
Enfin, il y a la ligne de commande. Nous allons utiliser la commande netstatpour nous fournir des informations détaillées sur toutes les connexions réseau actuelles émises vers un fichier TXT. L'information est essentiellement un sous-ensemble de ce que vous obtenez de Resource Monitor ou des programmes tiers, donc ce n'est vraiment utile que pour les techniciens.
Voici un exemple rapide. Commencez par ouvrir une invite de commande de l'administrateur et tapez la commande suivante:
netstat -abfot 5 > c:\activity.txt
Patientez environ une minute ou deux, puis appuyez sur les touches CTRL + C de votre clavier pour arrêter la capture. La commande netstat ci-dessus capture essentiellement toutes les données de connexion réseau toutes les cinq secondes et les enregistre dans le fichier texte. La partie - abfotest un ensemble de paramètres permettant d'obtenir des informations supplémentaires dans le fichier. Voici ce que chaque paramètre signifie, au cas où vous êtes intéressé.
Lorsque vous ouvrez le fichier, vous verrez à peu près la même information que nous avons obtenu des deux autres méthodes ci-dessus: nom du processus, protocole, numéros de ports locaux et distants, adresse IP distante / nom DNS, état de connexion, identificateur de processus, etc.
Encore une fois, toutes ces données sont une première étape pour déterminer si quelque chose se passe ou non. Vous devrez faire beaucoup de Google, mais c'est le meilleur moyen de savoir si quelqu'un vous surveille ou si un logiciel malveillant envoie des données de votre ordinateur à un serveur distant. Si vous avez des questions, n'hésitez pas à commenter. Profitez-en!