Computer lento o non sicuro?
Scritto da Marco Ciavarella
Abbiamo visto diversi metodi su come proteggere i dati e proteggerci dai virus. Ma se il sistema che stiamo usando ha dei comportamenti anomali? E' lento. Si blocca. Ci mette molto ad aprire il browser. Vediamo alcuni semplici strumenti che ci permettono di investigare e capire cosa succede sul nostro sistema.
Su qualsiasi computer Microsoft lavoriamo, per quanto fidato e sicuro possa essere, c'è sempre il rischio che sia attivo un programma definibile come "malizioso" (un virus, un keylogger, etc) che, sfruttando la nostra connessione ad internet, trasmette alcune nostre informazioni ad un utente esterno o manda delle mail indesiderate a tutti i nostri contatti.
Sicuramente un buon antivirus ed un firewall riducono sensibilmente il rischio che ciò accada, ma, avvolte, sta a noi avere la capacità di capire alcuni segnali e cercare un rimedio.
Quindi vediamo due strumenti (o tools) di Microsoft che ci aiutano nell'analisi del comportamento del nostro sistema Windows e dei suoi programmi in esecuzione (o processi).
TCPView è liberamente scaricabile dal sito Technet.microsoft.com ed è una applicazione che visualizza l'elenco dettagliato di tutti i processi attivi sul vostro computer che sono collegati via rete (internet compresa) ad un qualsiasi altro computer (incluso il vostro). Oltre all'elenco dei processi, indica anche l'indirizzo di collegamento, il protocollo utilizzato (TCP o UDP), la quantità di dati scambiati e molte altre informazioni accessorie.
Una volta attivato TCPView (si vedano in fondo all'articolo le informazioni per l'installazione), devono essere esaminati solo i processi che hanno una connessione attiva.
Solitamente l'elenco visualizzato è lungo e, per ridurlo, è sufficiente non far visualizzare l'elenco dei processi che non sono collegati ad altri sistemi (definiti nell'applicazione come "Unconnected Endpoints") deselezionando la loro visualizzazione nel menu "Options-> Show Unconnected Endpoints".
Ora, se nell'elenco notate un processo “anomalo” (esempio: che non pensate debba essere collegato, che non conoscete o che sta trasmettendo “troppo”), visualizzatene le sue proprietà (menu "Process->Process Properties") e verificate su internet (una ricerca su internet è sufficiente) se è un processo “buono” e se non lo è disattivatelo.
Se le informazioni indicate da TCPView non sono ancora sufficienti a capire se il processo in questione è un pericolo o è il collo di bottiglia del nostro sistema, abbiamo un'altra applicazione di Microsoft che ci viene in aiuto: Process Explorer.
Process Explorer permette di analizzare il comportamento di un sistema per capire dove ci siano dei rallentamenti applicativi e per investigare su quali siano le cause (esempio: memoria, disco, etc.).
Durante il suo funzionamento, mostra quali processi siano attivi sul sistema, da chi siano stati attivati e quali risorse utilizzino. Il tool è ricco di funzionalità, ma noi dobbiamo focalizzarci sulla scheda delle proprietà del processo e sui diversi attributi visualizzati.
In pratica, una volta scoperto il processo "sospetto malizioso" in TCPView, usiamo Process Explorer per capire chi lo ha attivato, dove risiede il programma relativo, quanto impegni la nostra macchina etc. Tutti indicatori che permettono di capire meglio se è un processo di sistema "buono" o se è attivo un programma sospetto.
Le informazioni aggiuntive vengono visualizzate selezionando sul menu "Process->Properties" dopo aver evidenziato il processo interessato dall'elenco.
Le schede più interessanti delle “Properties” sono:
- "Image": riporta molte più informazioni sul processo attivo tra cui anche quando è stato attivato (fondamentale per capire se da quel momento abbiamo cominciato a vedere il comportamento anomalo o meno);
- "Performance": visualizza un chiaro spaccato delle performance del processo esaminato;
- "Disk and Network": visualizza un report su quante informazioni siano state spedite via rete.
Come si installano TCP View e Process Explorer
Entrambe le applicazioni possono essere eseguite direttamente della pendrive senza bisogno di particolari accorgimenti tecnici e sono liberamente scaricabili dal sito Microsoft Technet.
TCPView: scaricare il file "TCPView.zip", decomprimerlo in una cartella vuota (o nella vostra pendrive) ed eseguire il file "Tcpview.exe".
Process Explorer: scaricare il file "ProcessExplorer.zip", decomprimerlo in una cartella vuota (o nella vostra pendrive) ed eseguire il file "procexp.exe". Il manuale dell'applicazione è nel file "procexp.chm".
Comunque sempre all'erta!
