Гид по технологиям

Как просмотреть скрытые сетевые подключения в Windows

7 min read Безопасность Обновлено 18 Oct 2025
Как увидеть скрытые сетевые подключения в Windows
Как увидеть скрытые сетевые подключения в Windows

Почему это важно

Каждое приложение или служба на компьютере может устанавливать сетевые соединения. Большинство из них легитимны: обновления, синхронизация облака, телеметрия и т. п. Но иногда в системе работают нежелательные процессы — вредоносное ПО, майнеры, эксплойты, или законно установленный, но чрезмерно любопытный софт, который передаёт приватные данные. Просмотр открытых портов и процессов помогает обнаружить:

  • несанкционированные исходящие соединения;
  • неизвестные процессы, удерживающие сетевые каналы;
  • аномалии в частоте и направленности трафика.

Важно: просмотр подключений — диагностический шаг. Он не заменяет полноценного анализа вредоносного ПО, но даёт отправную точку для расследования.

Коротко о терминах

  • Порт — логическая точка входа/выхода для сетевого трафика. Номер порта помогает идентифицировать сервис.
  • Процесс — запущенная программа в операционной системе. Процесс может открывать сетевые соединения.
  • Исходящее соединение — соединение, которое инициирует ваш компьютер к удалённому хосту.

Быстрая инструкция: PowerShell (netstat)

  1. Нажмите Win + X и выберите PowerShell (администратор) или PowerShell (админ). Нужны права администратора.

Окно PowerShell в меню «Пользователь» с подсвеченным пунктом администратора

  1. Введите команду и нажмите Enter:
netstat -abf 5> activity.txt

Команда запускает сбор данных о сетевых соединениях с отображением связанных с ними исполняемых файлов и запишет вывод в файл activity.txt. Параметр 5 означает паузу в 5 секунд между обновлениями вывода.

  1. Пусть команда работает несколько минут, чтобы накопить активность. Затем остановите запись комбинацией клавиш Ctrl + C.

  2. Введите activity.txt и нажмите Enter или откройте файл через Блокнот. Файл обычно сохраняется в папке System32, если вы запускали PowerShell с правами администратора.

Окно с командой netstat и текстовым файлом activity.txt в Блокноте

Файл activity.txt открыт в Блокноте, показан путь в System32

Путь к файлу activity.txt в папке System32 на диске

Как читать вывод netstat

Вывод содержит столбцы: протокол (TCP/UDP), локальный адрес:порт, удалённый адрес:порт и состояние соединения (например, ESTABLISHED). Опция -b показывает исполняемый файл, ответственный за соединение, а -f пытается показать полные имена удалённых хостов (интернета). Если вы видите непонятный исполняемый файл или неизвестный удалённый адрес — зафиксируйте их для дальнейшего анализа.

Важно: некоторые записи могут повторяться; служебные процессы Windows тоже используют порты.

TCPView: смотреть соединения в реальном времени

TCPView — бесплатный инструмент от Microsoft (SysInternals). Он показывает активные соединения в реальном времени и позволяет завершать процессы и смотреть дополнительную информацию по каждому соединению.

  1. Скачайте TCPView с официальной страницы SysInternals.

Страница загрузки TCPView на сайте Sysinternals

  1. Распакуйте ZIP и запустите исполняемый файл TCPView.exe.

Запуск TCPView после распаковки архива

  1. В окне вы увидите таблицу процессов с удалёнными адресами и состояниями. Правый клик по процессу обычно даёт опцию «Whois …» или открывает контекст с дополнительными функциями.

Контекстное меню в TCPView с опцией Whois для выбранного процесса

TCPView подсвечивает строки: зелёные — только что открытые соединения, красные — закрытые, жёлтые — изменившиеся. Это удобно, чтобы заметить всплески активности.

Список соединений в TCPView с зелёными и красными подсветками изменений

Совет: если будете часто пользоваться TCPView, создайте ярлык на рабочем столе — программа не устанавливает ярлык автоматически.

CurrPorts: фокус на подозрениях

CurrPorts от NirSoft даёт похожий функционал, но с дополнительными фильтрами и подсветкой подозрительных активностей (например, отдельный цвет для необычных соединений).

Страница загрузки CurrPorts на сайте NirSoft

Скачайте правильную версию (32- или 64-битную), распакуйте и запустите. В интерфейсе можно сортировать, фильтровать и экспортировать список в CSV.

Окно CurrPorts с таблицей подключений

CurrPorts подсвечивает подозрительные элементы и сразу показывает путь к исполняемому файлу, что облегчает поиск и последующие действия.

Если вы нашли подозрительное соединение — шаги для пользователя

  1. Зафиксируйте данные: имя процесса, путь к файлу, удалённый IP/имя хоста, порт, время.
  2. Не перезагружайте и не завершайте процессы сразу — сначала снимите логи (netstat, TCPView/CurrPorts экспорт).
  3. Проверьте путь к файлу в интернете (поиск по полному пути или названию исполняемого файла). Используйте авторитетные источники: базы ПО, форумы безопасности.
  4. Отправьте исполняемый файл на проверку VirusTotal (он покажет результаты от множества антивирусов).
  5. Если есть сомнения в безопасности, выполните офлайн-сканирование Windows Defender или запускайте специальный сканер антивируса в безопасном режиме.
  6. При подтверждении вредоносности — следуйте плану удаления (см. раздел «План действий» ниже) и уведомите администратора/ИТ-отдел.

Примечание: автоматическое удаление может повредить систему, если процесс принадлежит важному системному компоненту. Для неопытных пользователей лучше обратиться к специалисту.

Инструменты и проверки, которые полезно знать

  • VirusTotal — загрузите подозрительный файл или укажите URL/IP для проверки репутации.
  • WHOIS / обратный DNS — определяет владельца IP-адреса или домена; можно использовать онлайн-сервисы.
  • Tracert (Windows) — помогает понять маршрут до удалённого хоста.
  • Windows Defender Offline / Microsoft Safety Scanner — для глубокого сканирования вне основной ОС.
  • Autoruns (SysInternals) — показывает автозапуск процессов и сервисов.

План действий (Playbook) для инцидента

Ниже — упрощённый пошаговый план, который подходит для большинства случаев неожиданной сетевой активности.

  1. Собрать данные
    • Сделать скриншоты TCPView/CurrPorts.
    • Сохранить вывод netstat (activity.txt).
    • Экспортировать таблицы CurrPorts/TCPView при необходимости.
  2. Анализировать
    • Проверить путь к исполняемому файлу.
    • Отправить файл/IP на VirusTotal и WHOIS-сервис.
  3. Изолировать
    • Отключить компьютер от сети (физически или отключить сетевой адаптер).
    • Для серверов — перенести нагрузку и изолировать инстанс.
  4. Устранить
    • Запустить офлайн-сканирование антивирусом.
    • Удалить/восстановить файл из карантина по результатам анализа.
    • Если процесс — легитимный, но нежелательный — деактивировать автозапуск через Autoruns.
  5. Восстановить
    • После чистки — подключить сеть и мониторить в течение 24–72 часов.
  6. Отчёт и уроки
    • Составить отчёт с файлами логов и описанием действий.
    • Обновить политики безопасности (блокировки, правила EDR, обучение пользователей).

Дерево решений для быстрого реагирования

flowchart TD
  A[Обнаружено подозрительное соединение] --> B{IP/файл известен}
  B -- Да --> C[Проверить репутацию на VirusTotal и WHOIS]
  B -- Нет --> D[Собрать логи: netstat, TCPView, export CurrPorts]
  C --> E{Репутация плохая}
  E -- Да --> F[Изолировать устройство и запустить офлайн-скан]
  E -- Нет --> G[Мониторить 24–72 часа и блокировать при ухудшении]
  D --> F
  F --> H[Удаление/восстановление и отчёт]
  G --> H

Роли и чеклисты

Чеклист для обычного пользователя:

  • Сохранить экран с активными соединениями.
  • Не выключать компьютер до создания логов.
  • Отправить логи ИТ/поддержке или в сервисы проверки.
  • Избегать ввода паролей, пока не завершится расследование.

Чеклист для администратора:

  • Собрать набор логов (Netstat, TCPView, CurrPorts, системные журналы).
  • Проверить интеграцию с SIEM/EDR и поднять оповещение.
  • Провести статический анализ подозрительных файлов и динамический — в песочнице.
  • Принять решение об изоляции и восстановлении из резервной копии.

Критерии приёмки

Чтобы считать инцидент закрытым, должны быть выполнены все пункты:

  • Подозрительный процесс либо безопасно удалён, либо подтверждён как легитимный.
  • Проведённое сканирование не выявляет остаточной вредоносной активности.
  • Система мониторится в течение назначенного окна (обычно 72 часа) без повторных признаков.
  • Зафиксирован отчёт с описанием корневой причины и мерами по предотвращению.

Риски и смягчения

  • Риск: ложноположительные меры (удаление легитимных компонентов). Смягчение: сначала анализ, бэкап и карантин вместо немедленного удаления.
  • Риск: перезапуск системы без логов. Смягчение: сохранять экспорт логов до перезагрузки.
  • Риск: утечка приватных данных при расследовании. Смягчение: использовать изолированную среду и защищённые каналы обмена логами.

Конфиденциальность и соответствие

При анализе логов может быть обнаружена личная информация (IP-адреса, пути файлов, учётные записи). Храните такие данные безопасно, предоставляйте доступ только уполномоченным лицам и соблюдайте внутренние политики конфиденциальности и требования локального законодательства (например, GDPR для ЕС) при передаче данных третьим сторонам.

Полезные команды и сниппеты (шпаргалка)

  • Собрать сетевые соединения с отображением процесса:
netstat -abf 5> activity.txt
  • Остановить текущий вывод: Ctrl + C
  • Открыть файл в Блокноте: ввести activity.txt в командной строке и нажать Enter
  • Блокировать исходящий IP вручную через Брандмауэр Windows — используйте правила «Исходящие подключения» в Windows Defender Firewall с расширенной безопасностью.

Когда описанные методы не помогут (ограничения)

  • Rootkit или глубоко укоренившееся вредоносное ПО может скрывать свои сетевые соединения от системных инструментов. В таких случаях необходимо использовать специализированные средства EDR/anti-rootkit и, возможно, полную переустановку ОС.
  • Если устройство контролируется удалённо администратором организации, локальные действия могут быть ограничены политиками централизованного управления.

Частые вопросы

Q: Нужно ли быть администратором для всех шагов?

A: Для запуска netstat с полными привилегиями и для получения путей к исполняемым файлам в выводе часто требуются права администратора. TCPView и CurrPorts могут отображать ограниченную информацию без админа.

Q: Можно ли доверять результатам VirusTotal?

A: VirusTotal агрегирует много движков и даёт полезную индикацию, но окончательное решение должно базироваться на полном анализе и контексте.

Короткое резюме

  • Используйте netstat для записи событий и TCPView/CurrPorts для мониторинга в реальном времени.
  • Фиксируйте подозрительные данные, проверяйте их с помощью внешних сервисов и не принимайте скоропалительных мер без резервных копий.
  • Создайте простой playbook и чеклисты для быстрого реагирования.

Важно: если вы не уверены в своих действиях, обратитесь к профессиональному ИТ-специалисту.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Исправить .NET Runtime Optimization Service, который нагружает CPU
Windows 10

Исправить .NET Runtime Optimization Service, который нагружает CPU

Включить обновление Погоды по сотовой сети на iPhone
iPhone

Включить обновление Погоды по сотовой сети на iPhone

Запрет закрепления на панели задач — Windows 11
Windows 11

Запрет закрепления на панели задач — Windows 11

Открыть Steps Recorder в Windows 11
Windows 11

Открыть Steps Recorder в Windows 11

Как планировать поездки в Uber заранее
Мобильные приложения

Как планировать поездки в Uber заранее

Исправить ошибку browser alias в Webpack
Веб-разработка

Исправить ошибку browser alias в Webpack