Surveiller les sites cachés et les connexions Internet

Vous pouvez être très sûr que votre ordinateur est connecté au serveur hébergeant mon site Web en lisant cet article, mais en plus des connexions évidentes aux sites ouverts dans votre navigateur Web, votre ordinateur peut se connecter à toute une série d'autres serveurs Qui ne sont pas visibles.

La plupart du temps, vous ne voudrez vraiment rien faire dans cet article, car il faut regarder beaucoup de choses techniques, mais si vous pensez qu'il existe un programme sur votre ordinateur qui ne devrait pas être là pour communiquer en secret Sur Internet, les méthodes ci-dessous vous aideront à identifier quelque chose d'inhabituel.

Il est intéressant de noter qu'un ordinateur exécutant un système d'exploitation comme Windows avec quelques programmes installés finira par établir de nombreuses connexions avec des serveurs externes par défaut. Par exemple, sur ma machine Windows 10 après un redémarrage et sans programmes en cours d'exécution, plusieurs connexions sont faites par Windows lui-même, y compris OneDrive, Cortana et même la recherche de bureau. Lisez mon article sur la sécurisation de Windows 10 pour savoir comment vous pouvez empêcher Windows 10 de communiquer avec les serveurs Microsoft trop souvent.

l existe trois façons de suivre les connexions que votre ordinateur effectue sur Internet: via l'invite de commande, à l'aide de Resource Monitor ou via des programmes tiers. Je vais mentionner l'invite de commande, car c'est le plus technique et le plus difficile à déchiffrer.

Moniteur de ressources

La façon la plus simple de vérifier toutes les connexions que votre ordinateur utilise est d'utiliser Resource Monitor. Pour l'ouvrir, vous devez cliquer sur Démarrer, puis tapez le moniteur de ressources. Vous verrez plusieurs onglets en haut et celui sur lequel nous voulons cliquer est Réseau.

Sur cet onglet, vous verrez plusieurs sections avec différents types de données: Processus avec Activité de réseau, Activité de réseau, Connexions TCP et Ports d'écoute.


Toutes les données répertoriées dans ces écrans sont mises à jour en temps réel. Vous pouvez cliquer sur un en-tête dans n'importe quelle colonne pour trier les données par ordre croissant ou descendant. Dans la section Processus avec activité réseau, la liste inclut tous les processus qui ont une quelconque activité réseau. Vous pourrez également voir le montant total des données envoyées et reçues en octets par seconde pour chaque processus. Vous remarquerez qu'il existe une case à cocher vide à côté de chaque processus, qui peut être utilisé comme filtre pour toutes les autres sections.Par exemple, je ne savais pas exactement ce qu'était nvstreamsvc.exe, alors je l'ai vérifié et j'ai regardé les données dans les autres sections. Sous Activité de réseau, vous souhaitez regarder le champ Adresse, qui devrait vous donner une adresse IP ou le nom DNS du serveur distant.

En soi, l'information ici ne vous aidera pas nécessairement à déterminer si quelque chose est bon ou mauvais. Vous devez utiliser des sites tiers pour vous aider à identifier le processus. Tout d'abord, si vous ne reconnaissez pas un nom de processus, allez-y et Google utilisez le nom complet, c'est-à-dire nvstreamsvc.exe.

Toujours, cliquez sur au moins les quatre premiers liens et vous aurez une bonne idée de savoir si le programme est ou non sécurisé. Dans mon cas, il était lié au service de diffusion NVIDIA, qui est sécurisé, mais pas quelque chose dont j'avais besoin. Plus précisément, le processus consiste à diffuser des jeux depuis votre PC vers NVIDIA Shield, que je n'ai pas. Malheureusement, lorsque vous installez le pilote NVIDIA, il installe beaucoup d'autres fonctionnalités dont vous n'avez pas besoin.Comme ce service a fonctionné en arrière-plan, je ne savais jamais qu'il existait. Il n'a pas apparu dans le panneau GeForce et j'ai donc supposé que je viens d'avoir installé le pilote. Une fois que je me suis rendu compte que je n'avais pas besoin de ce service, j'ai réussi à désinstaller un logiciel NVIDIA et je me suis débarrassé du service qui communiquait toujours sur le réseau, même si je ne l'avais jamais utilisé. C'est donc un exemple de la façon dont le creusement de chaque processus peut vous aider non seulement à identifier les logiciels malveillants possibles, mais aussi à supprimer les services inutiles qui pourraient être exploités par des pirates informatiques.Deuxièmement, vous devez rechercher l'adresse IP ou le nom DNS indiqué dans le champ Adresse. Vous pouvez consulter un outil comme DomainTools, qui vous donnera les informations dont vous avez besoin. Par exemple, sous Activité de réseau, j'ai remarqué que le processus steam.exe se liait à l'adresse IP 208.78.164.10. Lorsque je l'ai branché dans l'outil mentionné ci-dessus, j'ai été heureux d'apprendre que le domaine est contrôlé par Valve, qui est la société propriétaire de Steam.

Whois adresse ip

Si vous voyez une adresse IP se connecter à un serveur en Chine ou en Russie ou à un autre emplacement étrange, vous pourriez avoir un problème. Le suivi du processus vous conduira normalement à des articles sur la façon de supprimer les logiciels malveillants.

Programmes de tiers

Resource Monitor est génial et vous donne beaucoup d'informations, mais il existe d'autres outils qui peuvent vous donner un peu plus d'informations. Les deux outils que je recommande sont TCPView et CurrPorts. Les deux semblent exactement les mêmes, sauf que CurrPorts vous donne beaucoup plus de données. Voici une capture d'écran de TCPView:

Les lignes dans lesquelles vous vous intéressez le plus souvent sont celles qui ont un état d'ESTABLISHED. Vous pouvez cliquer avec le bouton droit de la souris sur n'importe quelle ligne pour mettre fin au processus ou fermer la connexion. Voici une capture d'écran de CurrPorts:

Encore une fois, regardez les connexions établies lors de la navigation dans la liste. Comme vous pouvez le voir à partir de la barre de défilement en bas, il existe plusieurs autres colonnes pour chaque processus dans CurrPorts. Vous pouvez vraiment avoir beaucoup d'informations en utilisant ces programmes.

Ligne de commande

Enfin, il y a la ligne de commande. Nous utiliserons la commande netstat pour nous fournir des informations détaillées sur toutes les connexions réseau actuelles émises sur un fichier TXT. L'information est essentiellement un sous-ensemble de ce que vous obtenez de Resource Monitor ou des programmes tiers, donc ce n'est vraiment utile que pour les techniciens.Voici un exemple rapide. Tout d'abord, ouvrez une invite de commande Administrateur et tapez la commande suivante:

netstat -abfot 5 > c:\activity.txt

Attendez environ une minute ou deux, puis appuyez sur CTRL + C sur votre clavier pour arrêter la capture. La commande netstat ci-dessus capture essentiellement toutes les données de connexion réseau toutes les cinq secondes et enregistrez-la dans le fichier texte. La partie -abfot est un ensemble de paramètres afin que nous puissions obtenir des informations supplémentaires dans le fichier. Voici ce que signifie chaque paramètre, au cas où vous êtes intéressé.

Lorsque vous ouvrez le fichier, vous verrez à peu près la même information que nous avons obtenue des deux autres méthodes ci-dessus: nom du processus, protocole, numéros de port locaux et distants, adresse IP distante / nom DNS, état de la connexion, identification du processus, etc. .

Encore une fois, toutes ces données sont une première étape pour déterminer si quelque chose de poisson se passe ou non. Vous devrez faire beaucoup de Googling, mais c'est la meilleure façon de savoir si quelqu'un siffle sur vous ou si des logiciels malveillants envoient des données depuis votre ordinateur vers un serveur distant. Si vous avez des questions, n'hésitez pas à commenter. Prendre plaisir!