Программа для отслеживания и блокирования сетевой активности. Основные признаки присутствия на компьютере вредоносных программ
Здравствуйте!
Следует понимать, что IP-адрес - это идентификатор не человека в Интернете, а устройства, которое он использует для выхода в сеть. То есть, например, у вашего смартфона и модема, который вы подключаете к компьютеру, IP-адреса разные, хотя оба эти устройства принадлежат одному человеку - вам.
Давайте рассмотрим вариант получения какой-либо информации по IP-адресу, которым обычно пользуются чаще всего. Это адрес ПК пользователя. Именно при работе с ПК происходит основная активность обычного пользователя в Сети.
Итак, кто-то узнал ваш IP-адрес. Для этого есть много способов, среди которых сайты-ловушки (фейки), взлом сайтов и форумов, на которых вы зарегмстрированы, определение адреса в процессе общения в различных соц. сетях и прочих средствах Интернет-коммуникаций и т.д. В общем, частное лицо узнать ваш IP вполне может, это факт. И если это лицо обладает некоторым опытом или просто умеет пользоваться поиском в Интернете и способно разобраться с приводимыми в результатах поиска инструкциями, оно сможет получить о вас определённую информацию.
Например, специальные сервисы позволяют по одному лишь IP узнать, к примеру, телефон или даже реальный адрес. Но это не во всех случаях, дело может ограничиться лишь определением провайдера и страны, не больше.
Также, IP-адрес можно просканировать на наличие открытых портов. И если один из этих портов окажется открытым уязвимой программой (а неуязвимых в принципе быть не может), можно будет получить доступ к информации на вашем ПК, вашим аккаунтам в Сети или даже удалённому управлению вашим компьютером. А хотя бы один открытый порт значит, что пользователь с этим IP в сети (вы как раз этим вопросом интересовались).
Я сейчас объяснил довольно примитивно, на пальцах, но этого достаточно, чтобы понимать возможности, которые открывает злоумышленнику знание вашего IP. Далее я опишу способы защиты.
Обычному пользователю достаточно установить фаервол и поддерживать его обновления в актуальном состоянии. Он обеспечит именно ЗАЩИТУ от злоумышленников. Если же вам нужна АНОНИМНОСТЬ, то можно пользоваться динамическим IP (изменяется при каждом подключении), прокси-сервером или цепочкой из них и т.д. Первое средство менее надёжно (у провайдера можно при наличии полномочий или взломе его базы данных узнать, кто пользовался IP в определённое время и даже какие действия этот человек совершал). С прокси всё так же, но вот проделать это действие с цепочкой из нескольких серверов потребует времени. И пока дойдёт до последнего, информация о вас уже может быть удалена за давностью.
Хочу отметить, что все эти средства поддержания анонимности полезны, например, для хакеров, которые совершают противоправные действия и не хотят понести за них ответственность. А обычном пользователю они не требуются. Вы можете спокойно общаться в сети, читать статьи, смотреть фильмы, слушать музыку и играть в игры. Ни спецслужбы, не толпы хакеров не горят желанием узнать подробности этого=) Фаервола, а также антивируса (или комбинированного решения из этих и других программ для безопасности) будет вполне достаточно, а абсолютная анонимность подавляющему большинству пользователей Интернета совсем не нужна, так как информация о их действиях просто напросто не представляет особой ценности.
5 года назад от Gelor (71,760 баллов)
Давайте взглянем на ваш вопрос более грамотно. Во-первых Вы не являетесь компьютером или каким-нибудь киборгом и не можете быть подключены к интернету лично. Лично Вы можете использовать для выхода в интернет любой доступный аппарат, будь то компьютер/ноутбук или смартфон/планшет. В наше время даже телевизоры подключаются к интернету, и это вовсе не значит что люди которые их смотрят "находятся в сети".
Для того чтобы передать информацию в интернет о том что вы в данный момент доступны, потребуется установить или использовать кое-какие программы или сервисы, отображающие вашу активность в реальном времени, но все эти сервисы вы можете самостоятельно держать под контролем и не давать через них информацию которой вы не желаете делится с людьми.
Для примера. Раньше для определения онлайн-статуса повсеместно люди использовали ICQ. Заметим, что они сами устанавливали себе клиент программы потому что им было необходимо делится этой информацией с людьми. Соответственно, отсутствие или отключение ICQ-клиента приводило к невозможности связи с человеком. Сейчас по подобию ICQ уже были сделаны десятки различных служб, которые имеются на большинстве популярных сайтов и служб. Это выглядит как чат, и его теперь даже не требуется отдельно устанавливать на компьютер - все будет работать через браузер где бы вы его ни запустили.
Отличие такого мессенджера от IP заключается в том, что для того что-бы использовать мессенджеры вы должны использовать логин и пароль, которые должны быть по правилам, известны только вам одному и больше никому. Это подтверждает вашу личность в интернете. Если же обнаружен вход с определенного IP-адреса, то это подтверждает соединение определенной единицы техники, которой может пользоваться кто угодно, и личность вашу не подтвердит. К тому-же большинство IP-адресов сейчас обычно выделяется в произвольном порядке провайдерами, и определить что происходило в какой-то определенный момент времени можно только изучая логи на серверах вашего провайдера.
Так что же значит понятие "я нахожусь в сети"? Вот у меня есть смартфон, подключенный к интернет постоянно. Он постоянно со мной и через него я могу получить сообщения от людей из интернет даже если я сам им не пользуюсь. Я могу водить машину, сидеть в кафе, в библиотеке или в кинотеатре имея при себе этот смартфон. Так вот скажите, нахожусь-ли я в сети в этот момент? Ответ прост - смартфон находится в сети, а я занимаюсь другими делами, но у меня есть возможность связи с людьми через интернет, даже если я не сижу и не смотрю безотрывно в экран. Да, впрочем, я точно также все время доступен и для телефонного звонка, если кому-то захочется поговорить, но только номер своего телефона я не буду сообщать тем, с кем не желаю разговаривать. И в интернете я имею возможность не сообщать другим людям свои контактные данные, оставаясь доступным для друзей.
Используйте то чем располагаете с умом, и не надо вести себя как параноик и боятся всего вокруг. Вы всегда имеете возможность не давать о себе ту информацию которую не хотите давать. Для этого просто не нужно ее печатать или говорить где попало и кому попало.
Вредоносные программы могут проявляться не только в виде подозрительных процессов или файлов автозапуска, но и в виде сетевой активности. Черви используют сеть для распространения, троянские программы - для загрузки дополнительных компонентов и отсылки информации злоумышленнику.
Некоторые типы троянских программ специально предназначены для обеспечения удаленного управления зараженным компьютером. Для обеспечения доступа к компьютеру по сети со стороны злоумышленника они открывают определенный порт.
Что такое порт? Как известно, каждый компьютер обладает IP-адресом, на который этому компьютеру можно передавать данные. Но если на компьютере имеется несколько программ, работающих с сетью, например, почтовый сервер и веб-сервер, как определить, какие данные какой программе предназначены? Для этого и используются порты. За каждой программой, ожидающей данные из сети закрепляется определенное число - номер порта, а данные, пересылаемые на компьютер, кроме адреса компьютера содержат также и номер порта, чтобы было понятно, какая программа должна получить эти данные.
Как правило, похожие по назначению программы используют одни и те же порты для приема соединений. Почтовый сервер использует порт 25 для приема исходящих писем от почтовых клиентов. Веб-сервер использует порт 80 для приема соединений от браузеров. Впрочем, никаких принципиальных ограничений на использование портов нет, кроме того, что две программы не могут использовать один и тот же порт.
Аналогично почтовому серверу, вредоносные программы для приема команд или данных от злоумышленника используют определенный порт, постоянно ожидая сигналов на этот порт. В таких случаях принято говорить, что программа слушает порт.
Определить, какие порты слушаются на компьютере можно при помощи команды netstat -n. Для ее выполнения сперва нужно запустить командную оболочку. В случае Windows NT, 2000, XP и 2003 она запускается командой cmd.exe, а в Windows 98 и Me - command.com. Для запуска используются команды Выполнить в меню Пуск.
После выполнения в командной оболочке команды netstat -a в том же окне отображаются данные об установленных соединениях и открытых портах (тех, которые слушаются). Выглядит это как на рисунке 4.7.
Рис. 4.7.
Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты. Открытые TCP-порты 2) обозначаются строкой LISTENING в колонке состояние. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap, microsoft-ds, netbios-ssn. Порты, не относящиеся к стандартным службам, отображаются по номерам.
UDP-порты обозначаются строкой UDP в колонке Имя. Они не могут находиться в разных состояниях, поэтому специальная пометка LISTENING в их отношении не используется. Как и TCP-порты они могут отображаться по именам или по номерам.
Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80, 21, 443 - порты, используемые на файловых и веб-серверах.
Просто обнаружить неизвестные системе (и пользователю) порты мало. Нужно еще узнать, какие программы используют эти порты. Команда netstat не позволяет этого сделать, поэтому потребуется воспользоваться сторонними утилитами, например, утилитой tcpview.exe 3) . Эта утилита отображает более полную информацию о подключениях, включая данные о процессах, слушающих порты. Характерный вид окна утилиты представлен на рисунке 4.8.
Рис. 4.8.
Как несложно заметить, утилита TCPView отображает те же данные, что и команда netstat -a, но дополняет их информацией о процессах.
Что делать с результатами поиска
Итак, по результатам анализа процессов, параметров автозагрузки и соединений получен список подозрительных с точки зрения пользователя процессов (имен файлов). Для неопытного пользователя неизвестных, а значит подозрительных имен файлов может оказаться слишком много, поэтому имеет смысл выделить наиболее подозрительные из них - те, которые были обнаружены в двух и более источниках. Например, файлы, которые присутствуют в списке процессов и в списке автозагрузки. Еще более подозрительными являются процессы, обнаруженные в автозагрузке и слушающие порты.
Для выяснения природы подозрительных процессов проще всего использовать Интернет. В глобальной сети имеются сайты, собирающие информацию о различных процессах. Данных по всем процессам вредоносных программ на таких сайтах может и не быть, но во всяком случае на них есть информация о большом количестве неопасных процессов и таким образом можно будет исключить из списка те процессы, которые относятся к операционной системе или известным невредоносным программам. Одним из таких сайтов является http://www.processlibrary.com
После того, как список подозрительных процессов максимально сужен и в нем остались только те, о которых нет исчерпывающей и достоверной информации, остается последний шаг, найти эти файлы на диске и отправить на исследование в одну из антивирусных компаний для анализа.
Доступна на сайте http://www.sysinternals.com Для обмена данными между компьютерами могут использоваться различные протоколы, т. е. правила передачи информации. Понятие портов связано с использованием протоколов TCP и UDP. Не вдаваясь в подробности, стоит отметить, что в большинстве случаев применяется протокол TCP, но UDP также необходим для работы ряда служб и поддерживается всеми современными операционными системами. Доступна на сайте http://www.sysinternals.com
На компьютере в среднем может быть установлено 80-100 программ. В «фоновом режиме» — незаметно для пользователя, работают многие приложения и процессы в системе. Кроме того, существуют вредоносные программы, которые могут использовать компьютер и интернет. Как узнать какая программа на компьютере использует интернет и в каком объёме? Как отреагировать если есть увеличение использования интернета?
В этой статье я расскажу о программе для контроля интернета GlassWire — это монитор сетевой активности и фаервол. Он очень хорошо дополняет установленный на компьютере антивирус.
Это прекрасный инструмент для контроля интернета на компьютере в реальном времени и для просмотра статистики использования интернета за период. Вы сможете видеть сетевую активность программ на наглядном графике, легко проверить любую работающую программу или процесс на вирусы, отключить доступ программы к интернету.
Монитор сетевой активности и фаервол
Установка программы мониторинга интернета
Скачать программу GlassWire
для мониторинга интернета и контроля трафика (трафик — это объём использования интернет соединения) можно на сайте Настройка
Программа для контроля интернета GlassWire Установка программы простая и понятная — запустите скачанный файл и пройдите предлагаемые шаги установки.
Сетевая активность программ
При первой активности приложения в сети — появится всплывающее сообщение на экране и Вы всегда будете знать какие программы начинают использовать интернет.
В закладке График в реальном времени видно всю сетевую активность. Большие всплески на графике означают увеличение использования интернета. Это может быть работа вредоносной программы или работа обычных программ. Такие места наиболее интересны для анализа трафика.
Для удобства есть выбор периода графика от 5 минут до месяца, пауза и продолжение движения графика. Любое место графика можно посмотреть детально. Для этого нужно просто нажать мышкой на графике (если он движется, то включится пауза) и появится вертикальная полоса. Под графиком будет список всех программ использующих сеть в выбранном месте.
Монитор сетевой активности программ. На графике статистика трафика. Для открытия всего списка программ нужно нажать на значок программы под графиком.
Детальный мониторинг интернет трафика — список программ Можно выбрать любую программу и увидеть детали: название процесса, имя исполняемого файла и где он находится на компьютере, размер входящего и исходящего трафика.
Детальное окно с информацией о программе и трафике Проверка процесса на вирусы
Любую программу использующую интернет можно проверить на вирусы прямо из списка программ. Для этого нужно открыть детальный экран проверяемой программы и нажать Проверка на вирусы
. Для проверки будет использован антивирус установленный в системе
.
Для установки бесплатного антивируса можете использовать сайт Настройка
Проверка антивирусом любой программы использующей интернет После сканирования антивирусом на экране появится сообщение о результате проверки и запись в GlassWire
Программа использующая интернет проверена — вирусов не найдено. Фаервол
Фаервол GlassWire (или брандмауэр — это одно и тоже) с помощью понятных графиков показывает всю сетевую активность Вашего компьютера. Легко увидеть потенциальные угрозы (например, всплеск или постоянное увеличенное использование интернета неизвестным процессом) и блокировать их в случае необходимости. Для контроля сети GlassWire использует брандмауэр Windows.
В закладке Firewall отображается список всех процессов. Легко определить активность использования интернета любой программы — в каждой строке справа есть графики. По любому процессу можно посмотреть детали соединения, трафика и проверить его антивирусом (как описано выше). Например, на картинке ниже, процесс svchost постоянно загружает интернет.
В GlassWire удобно включать или отключать доступ программ в интернет . Для этого нужно нажать на значок «огонь» в начале строки. Если огонь горит — использование программой интернета заблокировано (на примере я заблокировал четыре верхних программы).
Управление приложениями на закладке Firewall В закладке Статистика полная информация о входящем и исходящем трафике каждого приложения и суммарная за выбранное время. Можно смотреть за любой период до месяца.
Статистика использования интернета Видео как работать с монитором активности сети и фаерволом GlassWire
Введение
TCPView - это программа, предназначенная для операционной системы Windows, которая выводит на экран списки конечных точек всех установленных в системе соединений по протоколам TCP и UDP с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния TCP-соединений. В операционных системах Windows NT, 2000 и XP программа TCPView также сообщает имя процесса, которому принадлежит конечная точка. Программа TCPView является дополнением программы Netstat, поставляемой вместе с ОС Windows, и предоставляет расширенный набор сведений в более удобной форме. В комплект загрузки программы TCPView входит программа Tcpvcon с теми же функциональными возможностями, предназначенная для работы в режиме командной строки.
Программа TCPView работает в операционных системах Windows NT/2000/XP и Windows 98/Me. Программу TCPView можно использовать также в операционной системе Windows 95 при условии установки пакета обновления Winsock 2 для ОС Windows 95, предоставляемого корпорацией Microsoft.
Использование программы TCPView
При запуске программа TCPView формирует список всех активных конечных точек соединений по протоколам TCP и UDP, отображая все IP-адреса в виде доменных имен. Чтобы переключить режим отображения для просмотра адресов в цифровом виде, можно использовать кнопку панели инструментов или пункт меню. В операционных системах Windows XP программа TCPView для каждой конечной точки отображает имя процесса, которому эта точка принадлежит.
По умолчанию программа TCPView обновляет информацию один раз в секунду, но период обновления можно изменить с помощью пункта Refresh Rate (Период обновления) в меню Options (Параметры). Если в период между обновлениями состояние конечной точки изменилось, она выделяется желтым цветом, если конечная точка удалена - красным цветом, новые конечные точки отображаются зеленым цветом.
Чтобы закрыть установленные подключения по протоколам TCP/IP (с отметкой состояния ESTABLISHED (установлено)), можно выбрать пункт Close Connections (Закрыть подключения) в меню File (Файл) или щелкнуть правой кнопкой мыши какое-либо подключение и выбрать в контекстном меню пункт Close Connections .
Данные, отображенные в окне программы TCPView, можно сохранить в виде файла с помощью пункта меню Save (сохранить).
Применение программы Tcpvcon
Применение программы Tcpvcon аналогично применению служебной программы netstat, которая встроена в операционную систему Windows.
Применение: tcpvcon [-a] [-c] [-n] [имя процесса или PID]
Исходный текст программы Netstatp
Хотите знать, как работает программа TCPView? На примере исходного текста программы Netstatp показано, как можно запрограммировать некоторые функции программы TCPView. На примере этой программы показано, как использовать интерфейсы IP Helper (см. описание в документах на узле MSDN), чтобы получить список конечных точек соединений по протоколу TCP/IP. Однако обратите внимание, что программа netstatp не выводит имена процессов в системах NT 4 и Windows 2000, как это делают программы TCPView и TCPVCon.
Статья базы знаний Microsoft о программе TCPView
Данная статья базы знаний Майкрософт посвящена программе TCPView:
Взаимосвязанная служебная программа
TDImon - показывает активность с использованием протоколов TCP и UDP в реальном времени.
Если вам понравилась программа TCPView, то программа TCPView Pro понравится вам еще больше. Программа TCPView Pro, разработанная компанией Winternals Software, обладает рядом функций, благодаря которым она является намного более мощным и полезным средством, чем программа TCPView. Это такие функции: просмотр данных о процессах, которым принадлежат конечные точки открытых соединений (также действует в системе Windows 9x)
- просмотр активности процессов с использованием протоколов TCP и UDP в реальном времени
- использование усовершенствованных методов фильтрации для показа только необходимых данных.
- и многое другое...
Программа TCPView Pro поставляется в составе пакета Winternals Administrator"s Pak.
