Сетевая активность. Основные признаки присутствия на компьютере вредоносных программ

Сетевая активность. Основные признаки присутствия на компьютере вредоносных программ

активность может служить ярким свидетельством работы на компьютере подозрительной программы, производящей несанкционированную рассылку писем, связывающейся со своим автором и передающей ему конфиденциальную информацию или просто загружающую свои дополнительные модули или атакующей соседние компьютеры. Но при этом нужно не забывать, что ряд вполне легальных приложений также имеют свойство иногда связываться с сайтом фирмы-производителя, например для проверки наличия обновлений или более новых версий. Поэтому, прежде чем отключать сеть и выдергивать сетевой шнур, увидев необычно яркое мигание лампочки на сетевой карте, необходимо уметь определять какие программы и приложения вызвали эту подозрительную активность .

Изучить и проанализировать сетевую активность можно с помощью встроенных в операционную систему инструментов или же воспользовавшись специальными отдельно устанавливаемыми приложениями. В этом задании это предлагается сделать с помощью Диспетчера задач Windows и встроенной утилиты netstat , которая выводит на экран мгновенную статистику сетевых соединений.

  1. Откройте окно Диспетчера задач Windows , нажав одновременно клавиши Ctrl , Shift и Esc , и перейдите к закладке Сеть .

    Поскольку сейчас не инициируется ни одного сетевого соединения, график должен быть пуст, вернее представлять собой прямую на уровне 0 %.

    В нижней части окна расположен перечень всех установленных в системе сетевых адаптеров. Обычно он один. В столбце Использование сети приводится моментальное значение доли используемого канала, а в Скорость линии - пропускная способность. Состояние отображает статус.


    Если на Вашем компьютере нет ни одного активного адаптера, окно Диспетчера задач на закладке Сеть будет выглядеть так:


    В этом задании предполагается, что как минимум один адаптер установлен и работает.

  2. Инициируйте какое-нибудь сетевое соединение. Например, откройте браузер и загрузите сайт www.viruslist.ru .


    При отсутствии выхода в Интернет, зайдите на сетевой ресурс, указанный преподавателем

  3. Проследите за изменениями на графике Диспетчера задач : все Ваши действия отобразятся на графике в виде пиков сетевой активности, а значение поля Использование сети на время перестанет быть равным нулю.

    Таким образом, если Вы, закрыв все прикладные программы, которые могут инициировать сетевые соединения, обнаруживаете, что сеть все равно использоваться продолжает, нужно искать причину


  4. Диспетчер задач Windows показывает только самую общую информацию. Для получения более подробных данных можно воспользоваться утилитой netstat .

    Закройте окно Диспетчера задач Windows и перейдите к системному меню Пуск / Программы / Стандартные / Командная строка

  5. В открывшемся окне нужно набирать команды, оканчивающиеся нажатием клавиши Enter . Такой способ взаимодействия называется работой через командную строку. Утилита netstat подразумевает именно такой режим


    Наберите

    и нажмите Enter

  6. Прочитайте описание утилиты netstat . Убедитесь, что для вывода самой полной информации нужно использовать ключ -a


  7. Наберите

    и нажмите Enter

  8. Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты.


    Открытые TCP-порты 2Для обмена данными между компьютерами могут использоваться различные протоколы, т. е. правила передачи информации. Понятие портов связано с использованием протоколов TCP и UDP . Не вдаваясь в подробности, стоит отметить, что в большинстве случаев применяется протокол TCP , но UDP также необходим для работы ряда служб и поддерживается всеми современными операционными системами. обозначаются строкой " LISTENING " в колонке состояние. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap , microsoft-ds , netbios-ssn . Порты, не относящиеся к стандартным службам, отображаются по номерам.

    UDP -порты обозначаются строкой " UDP " в колонке Имя . Они не могут находиться в разных состояниях, поэтому специальная пометка " LISTENING " в их отношении не используется. Как и TCP -порты они могут отображаться по именам или по номерам.

    Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80 , 21 , 443 - порты, используемые на файловых и веб-серверах 3Следовательно, в общем случае просто обнаружить неизвестные системе (и пользователю) порты мало. Нужно еще узнать, какие программы используют эти порты. Команда netstat не позволяет этого сделать, поэтому потребуется воспользоваться сторонними утилитами, например, утилитой tcpview.exe (доступна на сайте

Введение

TCPView - это программа, предназначенная для операционной системы Windows, которая выводит на экран списки конечных точек всех установленных в системе соединений по протоколам TCP и UDP с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния TCP-соединений. В операционных системах Windows NT, 2000 и XP программа TCPView также сообщает имя процесса, которому принадлежит конечная точка. Программа TCPView является дополнением программы Netstat, поставляемой вместе с ОС Windows, и предоставляет расширенный набор сведений в более удобной форме. В комплект загрузки программы TCPView входит программа Tcpvcon с теми же функциональными возможностями, предназначенная для работы в режиме командной строки.

Программа TCPView работает в операционных системах Windows NT/2000/XP и Windows 98/Me. Программу TCPView можно использовать также в операционной системе Windows 95 при условии установки пакета обновления Winsock 2 для ОС Windows 95, предоставляемого корпорацией Microsoft.

Использование программы TCPView

При запуске программа TCPView формирует список всех активных конечных точек соединений по протоколам TCP и UDP, отображая все IP-адреса в виде доменных имен. Чтобы переключить режим отображения для просмотра адресов в цифровом виде, можно использовать кнопку панели инструментов или пункт меню. В операционных системах Windows XP программа TCPView для каждой конечной точки отображает имя процесса, которому эта точка принадлежит.

По умолчанию программа TCPView обновляет информацию один раз в секунду, но период обновления можно изменить с помощью пункта Refresh Rate (Период обновления) в меню Options (Параметры). Если в период между обновлениями состояние конечной точки изменилось, она выделяется желтым цветом, если конечная точка удалена - красным цветом, новые конечные точки отображаются зеленым цветом.

Чтобы закрыть установленные подключения по протоколам TCP/IP (с отметкой состояния ESTABLISHED (установлено)), можно выбрать пункт Close Connections (Закрыть подключения) в меню File (Файл) или щелкнуть правой кнопкой мыши какое-либо подключение и выбрать в контекстном меню пункт Close Connections .

Данные, отображенные в окне программы TCPView, можно сохранить в виде файла с помощью пункта меню Save (сохранить).

Применение программы Tcpvcon

Применение программы Tcpvcon аналогично применению служебной программы netstat, которая встроена в операционную систему Windows.

Применение: tcpvcon [-a] [-c] [-n] [имя процесса или PID]

Исходный текст программы Netstatp

Хотите знать, как работает программа TCPView? На примере исходного текста программы Netstatp показано, как можно запрограммировать некоторые функции программы TCPView. На примере этой программы показано, как использовать интерфейсы IP Helper (см. описание в документах на узле MSDN), чтобы получить список конечных точек соединений по протоколу TCP/IP. Однако обратите внимание, что программа netstatp не выводит имена процессов в системах NT 4 и Windows 2000, как это делают программы TCPView и TCPVCon.

Статья базы знаний Microsoft о программе TCPView

Данная статья базы знаний Майкрософт посвящена программе TCPView:

Взаимосвязанная служебная программа

TDImon - показывает активность с использованием протоколов TCP и UDP в реальном времени.

Если вам понравилась программа TCPView, то программа TCPView Pro понравится вам еще больше. Программа TCPView Pro, разработанная компанией Winternals Software, обладает рядом функций, благодаря которым она является намного более мощным и полезным средством, чем программа TCPView. Это такие функции: просмотр данных о процессах, которым принадлежат конечные точки открытых соединений (также действует в системе Windows 9x)

  • просмотр активности процессов с использованием протоколов TCP и UDP в реальном времени
  • использование усовершенствованных методов фильтрации для показа только необходимых данных.
  • и многое другое...

Программа TCPView Pro поставляется в составе пакета Winternals Administrator"s Pak.

Мол, а как узнать какие программы сейчас пользуются интернетом, какие нет, что вообще занимает драгоценный канал загрузки/раздачи, через какие идет соединение и тд и тп.

В общем-то это стремление разумно и понятно, особенно, когда случаются какие-либо проблемы с скоростью, не понятно куда утекает или что вообще происходит с соединением на компьютере в общем и целом.

Сегодня речь пойдет как раз об этом.
Давайте приступим.

Анализируем сетевой и интернет трафик с TCPView и netstat

Первый и самой простой способ узнать происходящее, - это воспользоваться встроенной в Windows утилитой, которая зовется не иначе как netstat .

Чтобы воспользоваться ей, потребуется попасть в консоль, которая живет по пути "Пуск - Выполнить - " (или " " на клавиатуре):

В появившейся консоли достаточно ввести команду netstat , чтобы увидеть список установленных, ожидающих и иных соединений, их адреса и порты:

Это не совсем то, что нам нужно, ибо мы, в рамках этой статьи, хотели бы увидеть какая из программ, собственно, эти соединения устанавливает и использует, поэтому хорошо бы использовать эту команду с параметром -b , т.е вот так:

Вывод получится уже более наглядным, с указанием процесса и прочего:

Собственно, netstat имеет еще много интересных параметров, которые Вы можете узнать, введя команду netstat -h (кликабельно):

Хотите знать и уметь, больше и сами?

Мы предлагаем Вам обучение по направлениям: компьютеры, программы, администрирование, сервера, сети, сайтостроение, SEO и другое. Узнайте подробности сейчас!

Комбинируя эти параметры можно достигнуть множества интересных и подробных результатов, которые подойдут для диагностики ..

Но, как Вы понимаете, этот вариант, тем более для простого пользователя, всё же не самый наглядный, удобный и прочее.

Поэтому мы с Вами, в качестве второго решения, мы расскажем о такой программе как TCPView . Скачать программу можно, например, .

Установка не требуется, - просто распакуйте архив чем-нибудь вроде и запустите TCPView.exe . Программа полностью бесплатна, а поддержка русского языка, думаю, не требуется, - всё и так интуитивно понятно. Впрочем, мы расскажем, что в ней к чему.

Занимается она, как Вы уже, думаю, поняли, как раз тем, что выводит список всех программ соединенных в данный момент с чем-либо в сети и интернете, показывает удаленные и локальные порты, адреса, состояние соединения прочее.

Выглядит оное примерно вот так (кликабельно):

Где столбцы означают следующее:

  • Process , - это, соответственно, программа (процесс), который использует соединение;
  • PID , - идентификатор процесса;
  • Protocol , - протокол, который используется программой (процессом);
  • Local adress , - локальный адрес, задействованные процессом непосредственно на данном компьютере;
  • Local port , - тоже самое, что и Local adress , но только порт;
  • Remote adress , - удаленный адрес, т.е. с чем (каким адресом\хостом) соединен процесс (программа) в интернете;
  • Remote port , - тоже самое, что и Remote adress , но только порт;
  • State , - состояние соединения;
  • Sent Packets , - отправленное количество пакетов;
  • Sent Bytes , - отправленное количество байт;
  • Rcvd Packets , - полученное количество пакетов;
  • Rcvd Bytes , - полученное количество байт.

Нажав правой кнопкой мышки на любую из строчек можно завершить процесс (Close Proccess ) или завершить соединение (Close Connection ):

Так же можно вызвать свойства процесса дабы выяснить где он обитает в системе (Process Properties) или завершить его (End Process):

Нажав Ctrl + R можно так же преобразовать названия адресов в их (например, на

Инструкция

Обычно необходимость посмотреть активные соединения связана с подозрением на заражение компьютера шпионскими программами. Правильно настроенный компьютер должен соединяться с сетью только тогда, когда вы открываете какие-то страницы или во время обновления файлов ОС и баз антивирусной программы. Если индикатор сетевого соединения в трее то и дело «оживает» сам собой, и компьютер, независимо от вас, обменивается с интернетом какой-то информацией, необходимо выяснить причины подобной сетевой активности.

Откройте командную строку, для этого выполните: «Пуск» - «Все программы» - «Стандартные» - «Командная строка». В открывшемся окне введите команду netstat –aon и нажмите Enter. Вы увидите список всех сетевых соединений, активные будут отмечены в графе «Состояние» как ESTABLISHED.

Обратите внимание на графу «Внешний адрес» - в ней указаны ip, с которыми соединялся ваш компьютер, и порт соединения. Порт 80, например, характерен для веб-серверов. Но если вы видите какой-то другой порт, это уже повод для тревоги. В этом случае вам необходимо выяснить, какое установленное на вашем компьютере приложение открывает данное соединение.

Посмотрите на последнюю графу, в ней указаны идентификаторы процессов (PID). Запомните идентификатор подозрительного процесса, затем в том же окне наберите команду tasklist. Откроется список запущенных на компьютере процессов. В первой графе будут указаны имена процессов, во второй – их идентификаторы. Найдите идентификатор подозрительного процесса, затем, слева от него, посмотрите имя программы, которой он принадлежит.

Как быть, если имя процесса вам ничего не говорит? Наберите его в поисковике, и вы получите всю информацию о данном процессе. Если информации нет, то очень велика вероятность того, что вы «поймали» новую троянскую программу, сведения о которой еще не попали в интернет и в базы антивирусов.

Обращайте внимание на то, какой порт открывает подозрительный процесс – информация об открытых портах присутствует в графе «Локальный адрес». Проверяйте процессы, находящиеся в состоянии ожидания соединения – LISTENING. Именно так ведут себя бэкдоры – троянские программы, предназначенные для скрытного соединения с зараженным компьютером. Серверная часть такой программы всегда «висит» на каком-то порту и ждет подключения с компьютера хакера.

Для полного контроля за соединениями установите программу BWMeter. Это одна из лучших программ данного класса, она позволит вам видеть, с какими адресами соединяется ваш компьютер, есть возможность записывать информацию в лог.

Источники:

  • не найдено активное интернет соединение

В случае необходимости узнать фактическую скорость интернет-соединения самым правильным будет выполнить проверку на своем компьютере или мобильном устройстве, поскольку информация от провайдера может оказаться недостоверной. В качестве инструмента для определения скорости приема и передачи данных следует использовать специализированные онлайн-ресурсы.

Инструкция

Одним из самых популярных сайтов, предназначенных для этой цели, считается www.speedtest.net. Откройте сайт, но перед проверкой выполните небольшую подготовительную работу. Дело в том, что некоторые службы и приложения могут работать в фоновом режиме, используя интернет-канал. Самые основные из них: антивирусная программа, торрент-клиент, служба автоматического обновления Windows. Отключите все подобные программы и службы, и только после этого приступайте к проверке скорости – так вы получите значение, максимально приближенное к действительности.

Для запуска процедуры определения скорости нажмите кнопку «Начать проверку» и дождитесь, пока вам не будет показан результат. После завершения проверки вы узнает показатель Ping (чем он меньше, тем лучше), скорость загрузки и скорость отдачи. Последние два показателя - и есть ваша реальная скорость интернет-соединения . Чем выше эти значения, тем быстрее будут открываться страницы в браузере, скачиваться программы, фильмы, и тем более комфортным (без пауз) будет просмотр - .

Если вам нужно узнать скорость соединения на вашем мобильном устройстве, например, на iPad, iPhone, HTC, Samsung и др. (iOs и Android), вы можете установить на свой девайс специальное приложение, загрузить которое можно на том же сайте в разделе «Мобильность» или в онлайн-магазинах AppStore и Android Market. После установки такого приложения вы сможете проверить скорость получения и передачи данных на своем или и узнать, отвечает ли заявленная провайдером скорость в сети 2G или 3G фактическим показателям.

Видео по теме

Полезный совет

Помимо сайта Speedtest.net вы можете воспользоваться аналогичными ресурсами: www.internet.yandex.ru, www.speed.yoip.ru, www.speed-tester.info и другими.

Благодаря наличию в трее иконки в виде двух компьютеров пользователь может в общих чертах судить о сетевой активности его машины. В том случае, если даже простаивающий компьютер активно общается с интернетом, возникает необходимость более полного контроля трафика.

Вам понадобится

  • - права на запуск приложений на локальном компьютере.

Инструкция

Правильно настроенный компьютер никогда не будет сам лезть в сеть. Исключением являются лишь запланированные обновления операционной системы и антивирусной программы. Если компьютер постоянно лезет в сеть, можно предположить его неправильную настройку или вирусную активность .

Чтобы посмотреть сетевую активность компьютера, запустите командную строку: «Пуск – Все программы – Стандартные – Командная строка». Введите команду netstat –aon и не забудьте нажать Enter. Перед вами появится таблица из пяти столбцов. В первом будет указан протокол – UDP или TCP. Во втором перечислены все активные подключения, при этом вы можете видеть и открытые на вашей машине порты. Третий столбец показывает внешний адрес, четвертый состояние подключения. В пятом вы можете видеть PID – цифровой идентификатор процесса.

Указанные во второй колонке порты говорят о том, что их открыли какие-то программы, среди которых вполне могут быть и троянские. Для того чтобы понять, какая программа открывает тот или иной порт, в том же окне введите команду tasklist – вы увидите список запущенных процессов. При этом сразу после названия исполнимого файла будет идти идентификатор процесса.

Допустим, вы видите, что у вас открыт порт 1025, его PID – 1480 (у вас он может быть другим). Найдите этот идентификатор в списке процессов и посмотрите, какой программе он принадлежит. Если вы не знаете, что это , наберите ее название в поисковике.

Колонка «Состояние» дает вам возможность видеть состояние соединения. Например, строка LISTENING говорит о том, что программа находится в состоянии ожидания соединения. Именно так ведут себя бэкдоры – троянские программы, серверная часть которых находится на компьютере жертвы. Но в этом состоянии могут находиться и другие программы – например, сервисы Windows. В операционной системе Windows XP некоторые потенциально опасные порты можно закрыть с помощью утилиты wwdc, ее можно скачать в интернете.

Если вам нужен полный анализ трафика, воспользуйтесь программой BWmeter. Она отследит все подключения к вашему компьютеру с указанием ip-адресов, данные можно записывать в лог. Программа полезна как для вычисления шпионских программ, так и для выявления и последующего отключения всевозможных служб, лезущих в сеть без разрешения владельца компьютера.

Задача определения используемых портов, статистики и активных подключений протокола TCP/IP в операционной системе Microsoft Windows может быть решена стандартными средствами самой системы с использованием консольной утилиты netstat.

Инструкция

Введите значение cmd в поле «Открыть» и подтвердите выполнение команды запуска инструмента «Командная строка» нажатием кнопки OK.

Введите значение netstat -ano в тестовое поле интерпретатора команд Windows и подтвердите выполнение команды нажатием функциональной клавиши Enter.

Запомните синтаксис используемой консольной команды:
- a - отображение всех используемых соединений и портов;
- n - отображение не псевдонимов и DNS-имен, а действительных числовых значений портов и IP-адресов соединений;
- o - отображение PID (Process ID) - цифрового идентификатора процесса, использующего данное соединение или порт.

Определите приложение, ответственное за конкретное соединение через выбранный порт и запомните его идентификатор.

Вернитесь в диалог «Выполнить» и еще раз введите значение cmd в поле «Открыть» для определения необходимого процесса.

Подтвердите выполнение команды запуска интерпретатора команд Windows нажатием кнопки OK и введите значение tasklist | find сохраненный_PID в текстовое поле инструмента «Командная строка».

Подтвердите выполнение команды нажатием функциональной клавиши Enter или выполните одновременное нажатие функциональных клавиш Ctrl+Shift+Esc для запуска встроенной утилиты «Диспетчер задач Windows».

Перейдите на вкладку «Процессы» открывшегося диалогового окна диспетчера и раскройте меню «Вид» верхней панели инструментов.

Укажите команду «Выбрать столбцы» и примените флажок на поле PID (Process Identifier).



Популярное в рубрике:
Самсунг Галакси перезагружается сам по себе — Решения Galaxy note 4 перезагружается сам по себе
Самсунг Галакси перезагружается сам по себе — Решения Galaxy note...
читать
Основные возможности Kaspersky Rescue Disk
Основные возможности Kaspersky Rescue Disk
читать
Макбук не подключается к wifi Макбук не видит вай фай
Макбук не подключается к wifi Макбук не видит вай фай
читать
Как заработать на WebMoney
Как заработать на WebMoney
читать

Последние Статьи
"Супра", планшет: отзывы покупателей
читать
Местонахождения судов в реальном времени
читать
Лучшие программы для Android Запись звонков от...
читать
Удаляем не читателей в Твиттере
читать
Подключаем интернет на ноутбуке: все возможные...
читать
Samsung Galaxy S IV – новый флагман...
читать
Как происходит управление скоростью вращения...
читать
Магнитный кабель USB TYPE-C с круглым...
читать
Top