Как узнать какие программы соединены с интернетом

Наблюдение за наблюдателем

Привычных инструментов в арсенале хакера предостаточно для изучения любого софта. Тестовый комп с чистым SSD, виртуальная машина, сниффер Wireshark, HTTP-прокси и дебаггер Fiddler, монитор сетевых соединений TCPView, а также программы для создания снимков реестра и мелкие вспомогательные утилиты. Мы старались использовать версии, не требующие установки. Исключение составили только Wireshark и Fiddler из-за специфики их работы. Эти программы оставили напоследок, чтобы большая часть тестирования выполнялась на совершенно чистой системе. Сетевой трафик анализировался как в настройках Windows 10 по умолчанию, так и после поэтапного отключения всех следящих функций.

Из официальных документов следует, что за пользователем следят: сама Windows, глубоко интегрированный поиск Bing, голосовой помощник Cortana, служба MSN, пакет Office, клиент облачного хранилища OneDrive, почтовый клиент Outlook, а также Skype, Silverlight и Xbox Live. Подробнее об этом написано на сайте Microsoft. Посмотрим, как именно происходит сбор данных.

Первый старт Windows 10

Выполнив чистую установку сборки 10240, мы стали наблюдать за её сетевым поведением с помощью TCPView. Никаких других действий при этом не выполнялось. Поначалу всё было тихо — как в «Семерке». Лишь фирменный магазин приложений показывал готовность получить данные через сеть доставки контента от Akamai Technologies.

Затишье перед бурей

Когда уже стало надоедать сидеть в засаде, внезапно ожил системный процесс . Он установил подключение к удалённому узлу 191.232.139.254 и отправил на него 7,5 КБ.

Первый буревестник

Можно было узнать принадлежность IP-адреса через сервис WHOIS, но спрашивать Shodan информативнее.

BingBot попался

Как стало ясно из описания, это робот поисковой системы Bing. Если бы в тесте был сделан хоть один поисковый запрос (даже локальный), тогда соединение не вызывало бы никаких возражений. Однако мы просто сидели и смотрели в TCPView на то, как компьютер начинает шпионить за нами.

Предварительная настройка для переброски портов

Прежде чем выполнять проброс, необходимо изменить настройки распределения локальных IP-адресов внутри сети, созданной роутером TP-Link. Устройству, на котором в дальнейшем будет использоваться открытый порт, нужно задать неизменный внутренний адрес. За адресацию внутри локальной сети отвечает DHCP, поэтому необходимо открыть меню «DHCP -> Список клиентов DHCP». В этом окне отобразится список подключенных к вашей сети устройств. Ищем нужное устройство по имени и копируем его MAC-адрес.

В случае, который изображён на скриншоте, найти необходимое устройство не составило труда, так как в домашней сети было зарегистрировано только одно устройство. Однако бывают ситуации, когда к сети подключено значительное количество устройств, а имя необходимого компьютера неизвестно или не отображается. В этом случае можно узнать адрес компьютера непосредственно через операционную систему. Самый простой способ — использовать специальную команду в командной строке.

Нажмите клавиши Win+R, чтобы открыть окно выполнения новой программы. В нём введите cmd и нажмите кнопку «ОК».

После ввода команды getmac вы получите необходимые данные, которые в дальнейшем понадобятся, чтобы осуществить проброс портов на роутере TP-Link.

В случае если при выполнении команды происходит ошибка, рекомендуется повторить операцию, запустив командную строку от имени администратора.

После этого необходимо открыть меню «DHCP -> Настройки DHCP». На этой странице будет отображён диапазон IP-адресов, в пределах которого производится адресация компьютеров вашей сети. В случае на скриншоте начальный адрес: 192.168.0.100, конечный: 192.168.0.199. Эти данные понадобятся на следующем этапе.

Далее потребуется открыть страницу «DHCP -> Резервирование адресов» и нажать кнопку «Добавить новую…». Без выполнения этого шага проброс портов на роутере TP-Link не принесёт необходимого результата, так как компьютеру каждый раз будет присваиваться новый локальный адрес.

В поле «MAC-адрес» вставьте комбинацию, которую вы скопировали из списка клиентов DHCP или командной строки. В поле «Зарезервированный IP-адрес» введите любой адрес, который входит в диапазон, уточненный в настройках DHCP роутера TP-Link. Нажмите кнопку «Сохранить».

Как пробросить порты на роутере (открываем порты для игр, Skype, uTorrent и др. приложений)

Добавленная привязка MAC-адреса к IP отобразится в списке, но для нормальной работы резервирования адресов потребуется перезагрузка Wi-Fi роутера, о чём вас и предупредит система.

Перезагрузить роутер TP-Link программным путём можно в меню «Системные инструменты -> Перезагрузка».

Способ 2: Брандмауэр Windows

Порты нужны определенным программам и службам для входящих подключений, поэтому они обязательно отслеживаются стандартным межсетевым экраном. Любое разрешение на открытие порта сохраняется в соответствующем списке, который можно использовать для выполнения поставленной задачи, что происходит так:

  1. Откройте «Пуск» и перейдите оттуда в меню брандмауэра.

Через левую панель переместитесь к разделу «Дополнительные параметры».

Откройте директорию «Правила для входящих подключений».

Отыщите любое разрешающее подключение и кликните по нему дважды левой кнопкой мыши.

Переместитесь на вкладку «Протоколы и порты».

Теперь вы можете без проблем определить локальный порт.

Некоторые программы и службы могут использовать все предлагаемые порты, поэтому в этом меню вы не найдете конкретной привязки к протоколу. Тогда придется обращаться за помощью к одному из следующих методов.

Tcpview сканер

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Другие процессы

launch_cc.exe axahciserviceex.exe adevicehelpersvr.exe Tcpview.exe qykernel.exe cbvscservice11.exe startpm.exe gom.exe inorpc.exe dllhst3g.exe dsrlte.exe

TCPView, лучшая программа для показа все сетевых подключений

12 июня 2010
Serg

Хотел в этот раз обойтись без вступления но , не удержался.  Никогда не интересовало, сколько  на вашей операционной системе установлено  сетевых подключений, и какими службами, программами на какие адреса.  Эту информацию можно получить с помощью некоторых файрволов  если, если у вас установлен. Но есть  одна бесплатная  утилита написанная Марком Руссиновичем, гуру написавшим много полезных утилит для Windows — TCPView.

Программу не требуется устанавливать, достаточно скачать архив, распаковать фалы и запустить утилиту.  Размер просто миниатюрный как по сегодняшним временам,  всего около 200 килобайт, найдите что-то подобное с такими возможностями. В открытом окне получаем список  всех процессов, которые открывают сетевые подключения, используемый протокол, состояние  и  локальные и удаленные адреса которые используются. С установленной периодичностью (по умолчанию 1 секунда), которую можно настроить, идет обновление информации.

Можно выбирать показывать IP адреса, или определять их доменные имена если возможно. Чтоб не  тонуть в куче ненужной информации, можно отключать подключения  которые не имеют конечной  отвечающей точки.

Из контекстного меню можно узнать информацию о выбранном процессе (путь к исполняемому файлу), завершать процесс (поможет прибивать опасные или подозрительные программы),  закрывать соединение (скоростное отключение от ненужных сайтов, оставаяя процес в рабочем состоянии) и получать сведения о текущем сайте, к которому сделано подключение (иногда узнаешь интересные вещи).

Мониторится только TCP, UDP и TCPV6 (оказывается, сейчас он активно используются)  протоколы, по  которым сейчас весь сетевой обмен на компьютерах.

Из настроек есть только изменение параметров шрифта, и на этом все ограничивается.

TCPView утилита которая делает свою работу, не имеет феерического интерфейса, но работает как часы, классическая трудовая лошадка

Когда утилита работает её просто не замечаешь, а когда не оказывается под руками, чувствуешь что не хватает чего-то важного. Кто не понимает её назначения, она вам и не понадобится для тех, кто в теме обязательна к использованию

Прекрасно работает в 32-х и 64-х битных операционных системах. Доступен только один язык, английский, больше никаких вариантов не предлагается.

Домашняя страница TCPView http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

Страница для бесплатного  скачивания TCPView http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

Последняя версия на момент написания TCPView 2.54

Categories: Системные утилиты Windows, утилита

Уход в офлайн

Мы решили полностью отключить все узаконенные средства шпионажа штатными средствами Windows. В основном настройки меняются через вкладки «Конфиденциальность», «Поиск» и «Обновление и безопасность» в панели управления. Переключателей там с полсотни, вот только будет ли от них толк?

Мы отключили всё, что только можно и запустили Wireshark снова. На этот раз не пользовались никакими встроенными приложениями и даже не трогали мышку. Вернувшись через час, видим в логах сниффера до боли знакомые IP.

Змея меняет кожу, но не меняет нрава

Прогресс есть. Общее число запросов уменьшилось на порядок. Примерно втрое сократилось и число удалённых узлов, к которым выполняется подключение без ведома пользователя. Однако среди них появились новые. Если в первом логе Wireshark внезапно нашелся сервер Facebook, то теперь засветился дата-центр Amazon из Ирландии.

Ряды шпионов поредели

Раз уж Fiddler помог добыть список IP, то их массовое добавление в файл hosts должно помочь прекратить слежку. Проверим, создав список блокировки, и снова запустим Wireshark.

Скромный улов Wireshark

По сравнению с первым логом этот выглядит скучно. На экране не уместился только один айпишник, а их общий список состоит всего из четырех. Два из них относятся к сети доставки контента и не могут эффективно блокироваться в hosts – слишком много подсетей принадлежит Akamai. Третий IP-адрес принадлежит службе Windows Update, которую не блокировали. Самым стойким шпионом оказался BingBot. Его связь с бразильской Microsoft Informatica не знает преград. Видимо, процесс содержит встроенные средства обхода ограничений.

Причины ошибок в файле TCPVIEW.EXE

Проблемы TCPVIEW.EXE могут быть отнесены к поврежденным или отсутствующим файлам, содержащим ошибки записям реестра, связанным с TCPVIEW.EXE, или к вирусам / вредоносному ПО.

Более конкретно, данные ошибки TCPVIEW.EXE могут быть вызваны следующими причинами:

  • Поврежденные ключи реестра Windows, связанные с TCPVIEW.EXE / SANS Institute System Forensics, Investigation, and Response.
  • Вирус или вредоносное ПО, которые повредили файл TCPVIEW.EXE или связанные с SANS Institute System Forensics, Investigation, and Response программные файлы.
  • Другая программа злонамеренно или по ошибке удалила файлы, связанные с TCPVIEW.EXE.
  • Другая программа находится в конфликте с SANS Institute System Forensics, Investigation, and Response и его общими файлами ссылок.
  • Поврежденная загрузка или неполная установка программного обеспечения SANS Institute System Forensics, Investigation, and Response.

Сохранение/восстановление настроек роутера

После проведения настройки, рекомендуется сохранить их, чтобы в случае возникновения проблем, можно было их восстановить. Для этого необходимо зайти во вкладку Дополнительные настройки, меню Администрирование», вкладка «Восстановить/Сохранить/Загрузить настройки.

  • Для сохранения текущих настроек роутера необходимо нажать кнопку Сохранить. Файл с настройками будет сохранен в указанное место на жёстком диске.
  • Для восстановления настроек настроек из файла, необходимо нажать кнопку Выберите файл, указать путь к файлу с настройками, затем нажать кнопку Отправить.

Внимание! Нажатие кнопки Восстановить приведет к восстановлению заводских настроек!

Тема открытия портов на роутерах очень популярная, и не только для роутеров компании Asus. В этой статье мы подробно рассмотрим как открыть порты конкретно на маршрутизаторах компании Asus, а со временем обязательно подготовлю подобные инструкции для устройств других компаний. Сначала, я своими словами расскажу что такое порты на роутере, зачем их открывать (пробрасывать) , и как это сделать на роутерах Asus. Эта инструкция подойдет для всех моделей Asus, таких как: RT-N12 (который мы недавно настраивали, писал об этом здесь), RT-N65U, RT-AC66U, Asus RT-N10, RT-N56U, RT-N18U и т. д. Показывать я буду на примере RT-N12+, но так как панель управления у них практически одинаковая, то все будет понятно.

Вот есть у нас роутер, интернет подключен к нему. Это значит, что только роутер имеет внешний IP-адрес, по которому можно обратится с интернета. А компьютеры, и другие устрйоства, которые подключены к роутеру, уже получают внутренние IP-адреса. Получается, что если обратится к внешнему IP-адресу, то мы не сможет достучаться ни до одного компьютера, если он подключен через роутер. Для этого и нужно делать проброс портов. Этим мы создаем в настройках роутера правило, в котором сказано, что все пакеты, которые идут для определенного порта, нужно сразу перенаправлять на порт определенного компьютера (IP-адрес) , для которого мы открыли порт.

Для чего это нужно? Это нужно для разных программ, которые получают входящие подключения из интернета: DC++, разные торрент клиенты, FTP серверы, так же, проброс портов может понадобится при запуске веб-сервера на компьютере с доступом из интернета, при настройке IP-камер, или для некоторых игр. Некоторые программы могут сами открывать порты на роутере по технологии UPnP, что большинство современных программ и делает, если роутер это позволяет (если есть поддержка UPnP) . Но, все ровно бывают случаи, когда нужно открывать порты вручную.

Тема с этими портами немного запутанная, но если вам где-то в инструкции к какой-то программе, или в какой-то статье попалась информация, что нужно открыть порты для работы определенной программы, или игры, и у вас роутер компании Asus, то просто сделайте все по инструкции, и у вас все получится.

Настраивать будем по такой схеме:

  • Назначим статический IP-адрес для компьютера, в настройках роутера.
  • Откроем нужный порт на роутере Asus.

Добиваем агентов Матрицы

Справиться с оставшимися агентами Microsoft помогает ряд дополнительных мер. Нужно задать в брандмауэре блокировку подключений ко всем IP-адресам, выявленным Wireshark. У нас их получилось 47, но наверняка при более длительном мониторинге список увеличится. Ещё есть шанс, что при очередном автоматическом обновлении в системных файлах пропишутся новые айпишники, но пока вместе с модификацией файла hosts это обеспечивает большую часть защиты от слежки.

Отключить «неотключаемые» функции можно через реестр:

Задав нулевое значение этому параметру, запретим отправку «технических» данных.

Желательно удалить файл сервиса DiagTrack с уже собранными данными. Вот путь к нему:

Отключить сами сервисы DiagTrack и dmwappushsvc можно через управление службами или ветку реестра:

В планировщике заданий стоит посмотреть очередь задач и отключить все регулярные отправки данных, если они ещё остались.

Рекомендуется деинсталлировать облачный клиент OneDrive, если ты всё равно не собирался им пользоваться.

Все эти действия можно выполнить вручную, но сэкономить время сильно помогает утилита DisableWinTracking. В отличие от многих аналогов, она распространяется с открытым исходным кодом и хорошо документирована.

Распространенные сообщения об ошибках в TCPVIEW.EXE

Наиболее распространенные ошибки TCPVIEW.EXE, которые могут возникнуть на компьютере под управлением Windows, перечислены ниже:

  • «Ошибка приложения TCPVIEW.EXE.»
  • «TCPVIEW.EXE не является приложением Win32.»
  • «Возникла ошибка в приложении TCPVIEW.EXE. Приложение будет закрыто. Приносим извинения за неудобства.»
  • «Файл TCPVIEW.EXE не найден.»
  • «TCPVIEW.EXE не найден.»
  • «Ошибка запуска программы: TCPVIEW.EXE.»
  • «Файл TCPVIEW.EXE не запущен.»
  • «Отказ TCPVIEW.EXE.»
  • «Неверный путь к приложению: TCPVIEW.EXE.»

Такие сообщения об ошибках EXE могут появляться в процессе установки программы, когда запущена программа, связанная с TCPVIEW.EXE (например, SANS Institute System Forensics, Investigation, and Response), при запуске или завершении работы Windows, или даже при установке операционной системы Windows

Отслеживание момента появления ошибки TCPVIEW.EXE является важной информацией при устранении проблемы

XnView для Windows 10 на русском

Версия Платформа Язык Размер Формат Загрузка
*XnView на Русском для Windows скачайте бесплатно!
  
XnView
Windows Русский 18,5MB .exe
  
XnView MP x32
Windows Русский 20,4MB .exe

Скачать

  
XnView MP x64
Windows Русский 23,5MB .exe

Скачать

  
XnView MP
MAC Русский 28,3MB .zip

Скачать

Описание XnView

XnView — это мощный органайзер для просмотра и редактирования графических изображений, разработанный компанией Pierre E GOUGELET. В вашем распоряжении множество инструментов, позволяющих обрезать и изменять размер картинок, переводить в другой формат и использовать различные эффекты для придания определенного стиля и не только. Данная утилита поддерживает свыше 400 форматов, поэтому она будет отличным выбором для каждого пользователя. Присутствует функция пакетного редактирования фото для последующего сохранения в качестве сценария и применения в будущем. Данная программа имеет функцию снятия скриншотов и создания альбомов в HTML формате для публикации в Сети.

Также, в возможности XnView входит подсчет использованных в изображении цветов и вставка фотофайла из буфера обмена. Программа способна создавать анимированные картинки в форматах GIF и ICO. Для удобства пользователей предусмотрен браузер изображений с интуитивно понятным интерфейсом. Это приложение работает в полноэкранном режиме и будет отличным помощником в создании страниц для сайтов. Возможно подключение сканеров и цифровых камер для прямой работы посредством протокола TWAIN.

Функционал

XnView позволяет изменять изображения при помощи различных эффектов и фильтров, таких как: размытие, волны, рельефность, линзы и других. Присутствует функция захвата изображения или его определенной части. Пакетное изменение фотографий избавит вас от изнурительного редактирования одинаковых фотофайлов и сэкономит ваше время.
Также, доступны следующие функции:

Создание скриншотов (программа поможет вам сделать снимок изображения на мониторе или его часть);
Подключение сканеров и цифровых камер (прямая работа через протокол TWAIN);
Генерация HTML альбомов для размещения в Интернете;
Поддержка более 400 форматов;
Более 45 языков (среди них русский и украинский);
Работа с листом контактов.

Поддерживаемые типы файлов

ZX Spectrum, Smart Fax, Ricoh Fax, 2BP (Pocket PC Bitmap), 2D (Amapi), ABS, ACE, AFX, AMI, ANI, APX, ARN, ART, ATK, AVI, BGA, BMF, BMP, BTM, CAM, CAN, CDR, CUR, CVP, CLP, EMF, EPS, EXE, ICO, IMG, JPG, TGA, JTF, LWF, MIX, PRI, TGA, XAR, WAL, PSP, PSF, PNG, PNM, QTIF, RAD, SJ1, SPU, NCD, NCT и другие.

Скриншоты

XnView скачать для Windows

XnView скачать для Windows 10XnView скачать для Windows 8.1XnView скачать для Windows 8 XnView скачать для Windows 7XnView скачать для Windows VistaXnView скачать для Windows XP

Похожие программы

Adobe Reader

Universal Document Converter

RasterVect

Free 3D Photo Maker

AVS Document Converter

Домашняя Фотостудия

WinDjView

Free DWG Viewer

Vextractor

Free Image Convert and Resize

Ashampoo Photo Commander

Fresh View

Мастер коллажей

Sweet Home 3D

Adobe Photoshop Lightroom

Астрон Дизайн

GIMP

VisiCon

SmallFoto

FastStone Photo Resizer

Konvertor

Photoscape

Faststone Image Viewer

XnView
IrfanView

ACDSee

Picasa

Autodesk 3DS Max

Cinema 4D Studio

Google SketchUp

Blender

Adobe Photoshop

PRO100

CorelDRAW

Adobe Illustrator

Paint.net

Графические редакторы

3D графика

Просмотр

Графические конвертеры

Комментарии

12 октября 2019 06:58

поскажите пожалуйста, почему после полной загрузки программы выдается соощение об ошибке сети ? Сеть на других сайтах работаве нормально.

Using TCPView

When you start TCPView it will enumerate all active TCP and UDP endpoints, resolving all IP addresses to their domain name versions. You can use a toolbar button or menu item to toggle the display of resolved names. On Windows XP systems, TCPView shows the name of the process that owns each endpoint.

By default, TCPView updates every second, but you can use the Options|Refresh Rate menu item to change the rate. Endpoints that change state from one update to the next are highlighted in yellow; those that are deleted are shown in red, and new endpoints are shown in green.

You can close established TCP/IP connections (those labeled with a state of ESTABLISHED) by selecting File|Close Connections, or by right-clicking on a connection and choosing Close Connections from the resulting context menu.

You can save TCPView’s output window to a file using the Save menu item.

Видео: Как узнать какая программа использует какой TCP/UDP порт ПК

В командной строке вводим команду netstat и видим много интересной информации:

Мы видим соединения, в том числе, их порты, адреса, соединения активные и ожидающиеся. Это конечно круто, но нам этого мало. Нам бы узнать, какая программа использует сеть, для этого вместе с командной netstat можно использовать параметр –b, тогда команда будет выглядеть так:

netstat –b

Теперь в квадратных скобочках будет видна утилита, которая пользуется интернетом.

Это не единственный параметр в этой команде, для отображения полного списка введите команду netstat –h.

Дальше можно просто использовать несколько команд для получения необходимой информации. Но, как показывает практика, многие утилиты командной строки не дают той информации, которой хотелось бы видеть, да и не так это удобно.

В качестве альтернативы мы будем использовать стороннее программное обеспечение – TCPView.

Основная информация о программе

TCPView — это программа для операционных систем семейства Windows, которая выводит на экран списки конечных точек всех установленных в системе соединений (по протоколам TCP и UDP) с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния каждого TCP-соединений. В операционных системах Windows NT, 2000 и XP программа TCPView кроме прочего сообщает также имя процесса, которому принадлежит соединение и конечная точка. Программа TCPView является дополнением известной стандартной(поставляемой вместе с ОС Windows) программы Netstat, которая дает расширенный набор сведений в более удобной форме. В комплект загрузки программы TCPView входит программа Tcpvcon с теми же функциональными возможностями, предназначенная для работы в режиме командной строки.

Программа TCPView работает в операционных системах Windows NT/2000/XP и Windows 98/Me. Программу TCPView можно использовать также в операционной системе Windows 95 при условии установки пакета обновления Winsock 2 для ОС Windows 95, предоставляемого корпорацией Microsoft.

Использование программы TCPView

При запуске TCPView программа формирует список всех активных конечных точек соединений по протоколам TCP и UDP, отображая все IP-адреса в виде доменных имен, хостом или IP. Чтобы переключить режим отображения для просмотра адресов только в цифровом виде, можно использовать кнопку панели инструментов или пункт меню. В операционных системах Windows XP и выше программа TCPView отображает еще и имя процесса, которому принадлежит соединение.

По умолчанию программа TCPView обновляет информацию один раз в секунду, но период обновления можно изменить с помощью пункта Refresh Rate (Период обновления) в меню Options (Параметры). Если в период между обновлениями состояние конечной точки изменилось, она выделяется желтым цветом, если конечная точка удалена — красным цветом, новые конечные точки отображаются зеленым цветом.

Чтобы закрыть установленные подключения по протоколам TCP/IP (с отметкой состояния ESTABLISHED (установлено)), можно выбрать пункт Close Connections (Закрыть подключения) в меню File (Файл) или щелкнуть правой кнопкой мыши какое-либо подключение и выбрать в контекстном меню пункт Close Connections.

Данные, отображенные в окне программы TCPView, можно сохранить в виде файла с помощью пункта меню Save (сохранить).

Применение программы Tcpvcon

Применение программы Tcpvcon аналогично применению служебной программы netstat, которая встроена в операционную систему Windows.

Применение: tcpvcon -a Показать все конечные точки (по умолчанию на экран выводятся установленные TCP-соединения).-c Распечатать в формате CSV.-n Не выполнять разрешение адресов.

  • Политика конфиденциальности
  • Правообладателям
  • Iphone
  • Linux
  • Mac os
  • Uncategorized
  • Windows
  • Роутер

Анализируем сетевой и интернет трафик с TCPView и netstat

Первый и самой простой способ узнать происходящее, — это воспользоваться встроенной в Windows утилитой, которая зовется не иначе как netstat.

Чтобы воспользоваться ей, потребуется попасть в консоль, которая живет по пути «Пуск — Выполнить — cmd.exe» (или «Win + R» на клавиатуре):

В появившейся консоли достаточно ввести команду netstat, чтобы увидеть список установленных, ожидающих и иных соединений, их адреса и порты:

Это не совсем то, что нам нужно, ибо мы, в рамках этой статьи, хотели бы увидеть какая из программ, собственно, эти соединения устанавливает и использует, поэтому хорошо бы использовать эту команду с параметром -b, т.е вот так:

Вывод получится уже более наглядным, с указанием процесса и прочего:

Собственно, netstat имеет еще много интересных параметров, которые Вы можете узнать, введя команду netstat -h (кликабельно):

Комбинируя эти параметры можно достигнуть множества интересных и подробных результатов, которые подойдут для диагностики опытными администраторами..

..но, как Вы понимаете, этот вариант, тем более для простого пользователя, всё же не самый наглядный, удобный и прочее.

Установка не требуется, — просто распакуйте архив чем-нибудь вроде 7-zip и запустите TCPView.exe. Программа полностью бесплатна, а поддержка русского языка, думаю, не требуется, — всё и так интуитивно понятно. Впрочем, мы расскажем, что в ней к чему.

Занимается она, как Вы уже, думаю, поняли, как раз тем, что выводит список всех программ соединенных в данный момент с чем-либо в сети и интернете, показывает удаленные и локальные порты, адреса, состояние соединения прочее.

Выглядит оное примерно вот так (кликабельно):

Где столбцы означают следующее:

  • Process, — это, соответственно, программа (процесс), который использует соединение;
  • PID, — идентификатор процесса;
  • Protocol, — протокол, который используется программой (процессом);
  • Local adress, — локальный адрес, задействованные процессом непосредственно на данном компьютере;
  • Local port, — тоже самое, что и Local adress, но только порт;
  • Remote adress, — удаленный адрес, т.е. с чем (каким адресом\хостом) соединен процесс (программа) в интернете;
  • Remote port, — тоже самое, что и Remote adress, но только порт;
  • State, — состояние соединения;
  • Sent Packets, — отправленное количество пакетов;
  • Sent Bytes, — отправленное количество байт;
  • Rcvd Packets, — полученное количество пакетов;
  • Rcvd Bytes, — полученное количество байт.

Нажав правой кнопкой мышки на любую из строчек можно завершить процесс (Close Proccess) или завершить соединение (Close Connection):

Так же можно вызвать свойства процесса дабы выяснить где он обитает в системе (Process Properties) или завершить его (End Process):

Нажав Ctrl + R можно так же преобразовать названия адресов в их ip-адреса (например, на скриншоте, локальный хост desktop-lt5f3ve при нажатии Ctrl+R преобразуется в локальный адрес 192.168.31.2):

Тоже самое произойдет с адресами доменов с которыми установлено соединение (что удобно, наглядно и полезно), проколов (например https превратится 443) и прочие разности.

Так же периодически Вы будете наблюдать выделение строк красным или, скажем, зеленым. Это означает открытие или закрытие соответствующего соединения.

Настроек не так много: есть сохранение текущего списка, изменение шрифтов, скорости обновления и всякие прочие мелочи.

На этом, собственно, всё.
Перейдем к послесловию.

Лучшие практики для исправления проблем с Tcpview

Аккуратный и опрятный компьютер — это главное требование для избежания проблем с Tcpview. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.

Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

Learn More

Here are some other handle and DLL viewing tools and information
available at Sysinternals:

  • The case of the
    Unexplained…
    In this video, Mark describes how he has solved seemingly unsolvable
    system and application problems on Windows.
  • Handle —
    a command-line handle viewer
  • ListDLLs —
    a command-line DLL viewer
  • PsList —
    local/remote command-line process lister
  • PsKill —
    local/remote command-line process killer
  • Defrag Tools: #2 — Process
    Explorer
    In this episode of Defrag Tools, Andrew Richards and Larry Larsen
    show how to use Process Explorer to view the details of processes,
    both at a point in time and historically.
  • Windows Sysinternals Primer: Process Explorer, Process Monitor and
    More
    Process Explorer gets a lot of attention in the first Sysinternals
    Primer delivered by Aaron Margosis and Tim Reckmeyer at TechEd 2010.

Подготовка к пакетному шторму

Спящие службы можно ждать долго. Пора пробудить их и проявить немного активности. Нажатие кнопки «Пуск» заставило ожить инфоблоки справа. Появился прогноз погоды, начали отображаться новости и реклама. TCPView показывает, что всё это грузится через сеть Akamai и выглядит легитимно. Как только мы запускаем «Блокнот» и начинаем набирать текст, картина сразу меняется.

Запущен только «Блокнот»

Возникает сразу шесть соединений, которые быстро закрываются, — в сумме уходит чуть больше сотни пакетов. Отключив функцию «искать в интернете», мы оставили только локальный поиск Windows. Снова запустили «Блокнот» и начали набирать произвольный текст. Всё равно появился процесс SearchUI и стал передавать данные в сеть.

Поиск в интернете отключен

Наверное, мы как-то не так поняли «Заявление о конфиденциальности». Посмотрим его ещё раз. Это простая текстовая страничка, которая открывается в браузере Edge. Какой она может создать трафик? Примерно такой, как на картинке.

Открыта одна страница в браузере

Перечень соединений так быстро обновлялся, что просто так и не уследишь. Поэтому мы приступили ко второй части исследования. Закрыли все приложения, поставили сниффер Wireshark и записали активность Windows за полчаса. Чтобы сымитировать хоть какую-то активность, мы просто смотрели некоторые настройки в панели управления, но не меняли их.

Windows передает непрерывно — не важно делаешь что-то или нет

За полчаса в сеть ушло около восьми тысяч пакетов. Как показало изучение логов, большинство соединений устанавливалось по адресам в пределах одной из крупных подсетей. У принадлежащих им айпишников часто менялись два-три последних октета. Это говорит о том, что Microsoft развернула огромную сеть для обработки всей стекающейся от пользователей Windows информации. Если отсеять однотипные адреса, то в сухом остатке получится подборка как на картинке.

За полчаса нашего бездействия Windows успел разослать отчеты по всему свету

В глаза бросается бразильский сервер, но это очередной BingBot (возможно, какой-то особо специализированный), но вопросы вызывает далеко не только он. Например, какого черта выполнялось соединение с сервером Facebook в Нидерландах? Кто просил подключаться к облачному хранилищу CloudFlare? Ни одного файла ещё не создано. Даже учётная запись Microsoft не была активирована.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий