## Безпека

Нестандартні порти відкриваються програмами, які можуть не входити в ОС Windows, тому важливо з’ясувати, яка саме програма їх відкрила.

Наприклад, перевіримо порти 23232, 9090, 6568 через **PowerShell** командою `netstat -ano` і проаналізуємо відповідь.

```
PS C:\Users\Pk> netstat -ano | findstr :23232
TCP 0.0.0.0:23232 0.0.0.0:0 LISTENING 5344
UDP 0.0.0.0:23232 *:* 5344
UDP 0.0.0.0:23232 *:* 5344
UDP [::]:23232 *:* 5344

PS C:\Users\Pk> netstat -ano | findstr :9090
TCP 192.168.1.38:3906 54.228.98.34:9090 ESTABLISHED 5344
TCP 192.168.1.38:3909 52.213.86.148:9090 ESTABLISHED 5344
TCP 192.168.1.38:3912 18.203.124.33:9090 ESTABLISHED 5344

PS C:\Users\Pk> netstat -ano | findstr :6568
TCP 192.168.1.38:9713 57.128.75.89:6568 ESTABLISHED 5132
```

### Аналіз результату

- **Порт 23232 (LISTENING, PID 5344)** Це локальна служба, яка слухає як TCP, так і UDP. Важливо з’ясувати, який процес має PID **5344**.
- **Порт 9090 (ESTABLISHED, PID 5344)** Той самий процес (PID 5344) встановив кілька активних з’єднань із зовнішніми IP‑адресами на порт 9090. Це означає, що програма, яка слухає 23232, також активно працює з серверами через 9090.
- **Порт 6568 (ESTABLISHED, PID 5132)** Інший процес (PID **5132**) підтримує з’єднання з віддаленим сервером на нестандартному порту 6568.

### Як перевірити, що це за процеси?

1. **Знайти процес за PID** через PowerShell або CMD:

```
tasklist /FI "PID eq 5344"
tasklist /FI "PID eq 5132"
```
Це покаже назву програми, яка відповідає кожному з PID.

2. **Глянути детальніше через PowerShell**

```
Get-Process -Id 5344
Get-Process -Id 5132
```

Тут буде видно шлях до виконуваного файлу, ім’я програми та інші деталі.

3. **Перевірити цифровий підпис**
- Знайти `.exe` файл процесу (через властивості у диспетчері завдань).
- Переконатись, що він має підпис від відомого виробника (Microsoft, Cisco, тощо).
- Якщо підпису немає або файл лежить у дивній директорії — варто насторожитися.

4. **Використати TCPView (Sysinternals)**
Це утиліта від Microsoft, яка в реальному часі показує всі порти, процеси та з’єднання. Дуже зручно для таких випадків.

### Висновок

- **PID 5344** — один процес, який слухає порт 23232 і одночасно працює з кількома зовнішніми серверами через 9090. Це може бути серверна частина програми (наприклад, агент моніторингу, VPN‑клієнт або якийсь сервіс).
- **PID 5132** — інший процес, який тримає з’єднання на порті 6568. Треба перевірити, яка саме програма це робить.

### Конкретний приклад  перевірки в PowerShell:

```
PS C:\Users\Pk> Get-Process -Id 5344
Handles  NPM(K)    PM(K)      WS(K)     CPU(s)     Id  SI ProcessName
-------  ------    -----      -----     ------     --  -- -----------
    772      33    14936      39856              5344   0 Service


PS C:\Users\Pk> Get-Process -Id 5132
Handles  NPM(K)    PM(K)      WS(K)     CPU(s)     Id  SI ProcessName
-------  ------    -----      -----     ------     --  -- -----------
    507      33    42572      56600      55,13   5132   0 AnyDesk
```

### PID 5344 → **Service.exe**

- Цей процес слухає порт **23232** і одночасно має активні з’єднання на **9090**.
- Назва `Service.exe` виглядає дуже загальною. У Windows стандартних служб із такою назвою немає — це може бути **власний сервіс сторонньої програми** або навіть потенційно небажане ПЗ.
- Треба перевірити:
    - **Шлях до файлу**: у диспетчері завдань → правою кнопкою → "Відкрити розташування файлу".
    - Якщо він лежить у `C:\Windows\System32` чи іншій системній папці — перевірити цифровий підпис.
    - Якщо у дивній директорії (наприклад, `AppData\Temp` чи випадкова папка) — це може бути шкідливе ПЗ.
    - Перевірити файл антивірусом або сервісом VirusTotal.

### PID 5132 → **AnyDesk.exe**

- Це легальний процес — **AnyDesk**, відомий софт для віддаленого доступу.
- Він тримає з’єднання на порті **6568** із зовнішнім сервером. Це нормально: AnyDesk використовує нестандартні порти для тунелювання та зв’язку з хмарними серверами.
- Якщо ти користуєшся AnyDesk — все ок. Якщо ні — варто задуматися, чому він працює.

### Висновок

- **AnyDesk.exe (PID 5132)** — легітимний віддалений доступ.
- **Service.exe (PID 5344)** — підозрілий, бо назва занадто загальна, а він слухає нестандартний порт і встановлює зовнішні з’єднання. Це може бути:
    - частина легальної програми (моніторинг, VPN, агент),
    - або небажане ПЗ, яке маскується під "Service.exe".

### Що робити далі

1. Перевірити шлях до `Service.exe`.
2. Перевірити цифровий підпис файлу.
3. Якщо файл виглядає підозріло — зупинити процес і просканувати систему антивірусом.
4. Для впевненості — завантажити файл на VirusTotal і перевірити.