Você pode ter certeza de que seu computador está conectado ao servidor que hospeda meu site enquanto você lê este artigo, mas além das conexões óbvias com os sites abertos em seu navegador, seu computador pode estar se conectando a um host inteiro de outros servidores que não são visíveis.
Na maioria das vezes, você não vai querer fazer nada escrito neste artigo, já que ele requer muito material técnico, mas se você pensa existe um programa no seu computador que não deveria estar lá se comunicando secretamente na Internet, os métodos abaixo irão ajudá-lo a identificar qualquer coisa incomum.
É importante notar que um computador executando um sistema operacional como o Windows com um Alguns programas instalados acabarão fazendo muitas conexões com servidores externos por padrão. Por exemplo, na minha máquina Windows 10 após uma reinicialização e sem programas em execução, várias conexões são feitas pelo próprio Windows, incluindo OneDrive, Cortana e até mesmo a pesquisa na área de trabalho. Leia meu artigo sobre Protegendo o Windows 10 para aprender maneiras de impedir que o Windows 10 se comunique com os servidores da Microsoft com muita frequência.
Existem três maneiras de monitorar as conexões que seu computador faz para a Internet: através do prompt de comando, usando o Monitor de recursos ou por meio de programas de terceiros. Vou mencionar o prompt de comando por último, já que é o mais técnico e difícil de decifrar.
Monitor de recursos
A maneira mais fácil de verificar todas as conexões que seu computador está fazendo é para usar o Monitor de Recursos. Para abri-lo, você precisa clicar em Iniciar e depois digitar monitor de recursos. Você verá várias guias na parte superior e a que deseja clicar é Rede.
Nesta guia, você verá várias seções com diferentes tipos de dados: Processos com Atividade de Rede, Atividade de Rede, Conexões TCPe Portas de escuta.
Todos os dados listados nestas telas são atualizados em tempo real. Você pode clicar em um cabeçalho em qualquer coluna para classificar os dados em ordem crescente ou decrescente. Na seção Processos com atividade de rede, a lista inclui todos os processos que têm qualquer tipo de atividade de rede. Você também poderá ver a quantidade total de dados enviados e recebidos em bytes por segundo para cada processo. Você notará que há uma caixa de seleção vazia ao lado de cada processo, que pode ser usada como um filtro para todas as outras seções.
Por exemplo, eu não tinha certeza do que nvstreamsvc.exe foi, então eu verifiquei e, em seguida, olhei para os dados nas outras seções. Em Atividade de Rede, você deseja examinar o campo Endereço, que deve fornecer um endereço IP ou o nome DNS do servidor remoto.
Por si só, as informações aqui não vão necessariamente ajudá-lo a descobrir se algo é bom ou ruim. Você precisa usar alguns sites de terceiros para ajudá-lo a identificar o processo. Em primeiro lugar, se você não reconhecer um nome de processo, vá em frente e use o Google usando o nome completo, ou seja, nvstreamsvc.exe.
Sempre clique pelo menos nos primeiros quatro a cinco links e você terá uma boa ideia se o programa é seguro ou não. No meu caso, estava relacionado ao serviço de streaming da NVIDIA, que é seguro, mas não é algo que eu precisei. Especificamente, o processo é para streaming de jogos do seu PC para o NVIDIA Shield, que eu não tenho. Infelizmente, quando você instala o driver NVIDIA, ele instala muitos outros recursos que você não precisa.
Como esse serviço é executado em segundo plano, eu nunca soube que ele existia. Ele não apareceu no painel da GeForce e presumi que o driver estava instalado. Depois que percebi que não precisava desse serviço, fui capaz de desinstalar alguns softwares da NVIDIA e me livrar do serviço, que estava se comunicando na rede o tempo todo, embora eu nunca o tivesse usado. Esse é um exemplo de como se aprofundar em cada processo pode ajudar a identificar não apenas possíveis malwares, mas também remover serviços desnecessários que poderiam ser explorados por hackers.
Em segundo lugar, você deve procurar o endereço IP ou DNS nome listado no campo Endereço. Você pode conferir uma ferramenta como DomainTools, que lhe dará as informações que você precisa. Por exemplo, em Atividade de Rede, notei que o processo steam.exe estava se conectando ao endereço IP 208.78.164.10. Quando liguei a ferramenta mencionada acima, fiquei feliz em saber que o domínio é controlado pela Valve, que é a empresa proprietária da Steam.
Se você vir que um endereço IP está se conectando a um servidor na China ou na Rússia ou algum outro local estranho, você pode ter um problema. Ao pesquisar no Google, o processo normalmente leva você a artigos sobre como remover o software malicioso.
Programas de terceiros
O Monitor de Recursos é excelente e fornece muitas informações, mas há outras ferramentas que podem lhe dar um pouco mais de informação. As duas ferramentas que eu recomendo são TCPView e CurrPorts. Ambos parecem exatamente iguais, exceto que CurrPorts oferece muito mais dados. Aqui está uma captura de tela do TCPView:
As linhas em que você está mais interessado são aquelas que têm um Estadode ESTABELECIDO. Você pode clicar com o botão direito do mouse em qualquer linha para finalizar o processo ou fechar a conexão. Veja uma captura de tela de CurrPorts:
Novamente, observe as conexões ESTABLISHEDao navegar pela lista. Como você pode ver na barra de rolagem na parte inferior, há muito mais colunas para cada processo em CurrPorts. Você pode realmente obter muitas informações usando esses programas.
Linha de Comando
Finalmente, há a linha de comando. Usaremos o comando netstatpara nos fornecer informações detalhadas sobre todas as conexões de rede atuais enviadas para um arquivo TXT. As informações são basicamente um subconjunto do que você recebe do Resource Monitor ou dos programas de terceiros, por isso é realmente útil apenas para técnicos.
Veja um exemplo rápido. Primeiro, abra um prompt de comando do administrador e digite o seguinte comando:
netstat -abfot 5 > c:\activity.txt
Aguarde cerca de um minuto ou dois e, em seguida, pressione CTRL + C no teclado para interromper a captura. O comando netstat acima basicamente irá capturar todos os dados de conexão de rede a cada cinco segundos e salvá-lo no arquivo de texto. A parte - abfoté um monte de parâmetros para que possamos obter informações extras no arquivo. Aqui está o que cada parâmetro significa, caso você esteja interessado.
Quando você abre o arquivo, você verá praticamente as mesmas informações que obtivemos dos outros dois métodos acima: nome do processo, protocolo, números de porta local e remota, endereço IP / nome DNS remoto, estado da conexão, ID do processo, etc.
Novamente, todos esses dados são o primeiro passo para determinar se algo está acontecendo ou não. Você terá que pesquisar muito, mas é a melhor maneira de saber se alguém está bisbilhotando você ou se um malware está enviando dados do seu computador para algum servidor remoto. Se você tiver alguma dúvida, fique à vontade para comentar. Aproveite!