Найти тему
АЙТИШНЫЙ Блог

Как распознать какая программа тайно выходит в сеть на компьютере

Представьте, что вы поставили программу, взяв ее с ненадежного источника в интернете или воткнули на компьютер нелицензионную игру. Затем вы обнаружили, что они активно лезут в сеть и открывают порты для доступа на ваш компьютер.

Какие эмоции вы при этом испытаете? Я думаю никто такому не будет рад.

О том как узнать, что именно на вашем компьютере лезет в сеть и как ограничить всему лишнему доступ — поговорим ниже.

Изображение Luisella Planeta Leoni с  pixabay
Изображение Luisella Planeta Leoni с pixabay

Чтобы следить какие из программ могут лезть в сеть, а какие нет - нужно настроить файрволл.

Цель настройки

1. Блокировать все входящие порты. Таким образом сделаем невозможным "постучаться" на любой порт вашего компьютера.

2. Получать информацию о попытках любых программ компьютера выйти в интернет. И оперативно принимать решение о разрешении или запрещении доступа.

Вы будете контролировать все попытки доступа программ к сети и выборочно разрешать или запрещать доступ.

Всё будет делаться на windows 10 средствами штатного брандмауэра Windows, но с дополнительной утилитой, которая позволяет удобно его настроить

Брандмауэр windows
Брандмауэр windows

Утилита называется malwarebytes windows firewall control в интернете ее легко найти. Она бесплатна. За поддержку утилиты отвечает компания Binisoft - на их сайте и стоит искать свежую версию.

После стандартной установки программы нужно перейти в настройки и поставить русский язык.

Настройка Windows firewall Control
Настройка Windows firewall Control

Следующим действием нужно установить режим работы программы

Режим умеренной фильтрации блокирует все входящие подключения и исходящие, которые не соответствуют вашим правилам.
Режим умеренной фильтрации блокирует все входящие подключения и исходящие, которые не соответствуют вашим правилам.

На вкладке "режимы" нужно выбрать "Умеренную фильтрацию". Таким образом мы запретим все входящие подключения и будем разрешать вручную доступ к сети только доверенным программам.

Не лишним будет проверить, что на вкладке "правила" установлено исходящее направление для создания правил.

В Разделе "оповещения" обязательно ставим "показывать все оповещения". Это важно:

Нужно включить все оповещения.
Нужно включить все оповещения.

На этом настройка самой программы закончена, переходим к настройке правил файрволла.

Из контекстного меню программы кликаем на кнопку правила:

Правила находятся при нажатии не зеленую иконку программы в правом нижнем углу.
Правила находятся при нажатии не зеленую иконку программы в правом нижнем углу.

Должно открыться большое окно со списком всех разрешений и запретов. Большинство из них стандартные, некоторые из них вы ранее разрешили самостоятельно, работая на компьютере, другие создались автоматически.

Я рекомендую удалить все правила из этого списка. CTRL+A - выделить все правила и DEL для удаления. Это нужно чтобы ограничить доступ и тем программам, которые вы случайно разрешили.

Мало ли, вдруг вы давно нажали "разрешить" какому-нибудь шпиону.

После удаления всех правил, я рекомендую перезагрузить компьютер.

После включения компьютера, начнут вылетать оповещения о попытке доступе той или иной программы в сеть и вы сможете принять решение - блокировать или разрешить этот доступ.

Вот как примерно выглядит окно такого оповещения:

Пример оповещения файрволла
Пример оповещения файрволла

Как видно из скриншота выше, процесс запросивший доступ в сеть называется svchost.exe. Дальше можно увидеть, что процесс имеет подпись Microsoft - отсюда можно сделать вывод, что это легальная программа и разрешить ей доступ.

Кроме того, важная функция - это проверка программы на вирусы. Для этого нужно нажать на иконку программы левой кнопкой мышки.

Иногда чтобы принять решение разрешить или заблокировать доступ нужно проверить программу, которая просится в сеть.
Иногда чтобы принять решение разрешить или заблокировать доступ нужно проверить программу, которая просится в сеть.

Файл программы передастся на сервер Virustotal, который проверит программу через множество разных антивирусов, результат проверки вы увидите в виде таблицы:

Таблица с результатами проверки файла множеством антивирусов.
Таблица с результатами проверки файла множеством антивирусов.

Как видно, ни один антивирус не увидел ничего подозрительного в этом файле. Слева, около каждого проверившего антивируса стоит статус Undetected. Значит файл не вредоносный и доступ в сеть можно разрешить.

Если программа не относится к Microsoft - можете действовать на усмотрение, ничего не запускали и что-то без подписи ломится в сеть? Лучше заблокировать.

При этом, необходимо помнить, что процессы с подписью Microsoft могут нуждаться в доступе в интернет, они делают некоторые жизненно важные функции, без некоторых таких процессов могут перестать открываться сайты (например не будут резолвится домены) и возникнет много других неприятных моментов.

Если пропал интернет или что-то не работает, то заходите в список правил и смотрите, что из нужного вы заблокировали.

На этом все. Спасибо за внимание. Поставьте лайк и подпишитесь если было полезно и чтобы не потерять инструкцию.

Я всегда поддерживаю свои мануалы. Поэтому пишите в комментариях если что-то не понятно или есть вопросы. Обязательно помогу.