Główna » szkoła » Używanie Eksploratora procesów do rozwiązywania problemów i diagnozowania

    Używanie Eksploratora procesów do rozwiązywania problemów i diagnozowania

    Zrozumienie, w jaki sposób okna dialogowe i opcje Eksploratora procesów działają dobrze i dobrze, ale co z ich wykorzystaniem do rzeczywistego rozwiązywania problemów lub do diagnozowania problemu? Dzisiejsza lekcja Geek School postara się pomóc ci nauczyć się, jak to zrobić.

    NAWIGACJA SZKOLNA
    1. Jakie są narzędzia Sysinternet i jak ich używasz?
    2. Omówienie Eksploratora procesów
    3. Używanie Eksploratora procesów do rozwiązywania problemów i diagnozowania
    4. Omówienie Monitora procesu
    5. Używanie monitora procesu do rozwiązywania problemów i znajdowania haseł rejestru
    6. Korzystanie z autouruchamiania w celu radzenia sobie z procesami uruchamiania i złośliwym oprogramowaniem
    7. Używanie BgInfo do wyświetlania informacji o systemie na pulpicie
    8. Używanie PsTools do sterowania innymi komputerami z poziomu wiersza poleceń
    9. Analizowanie i zarządzanie plikami, folderami i dyskami
    10. Pakowanie i używanie narzędzi razem

    Niedawno zaczęliśmy sprawdzać wszelkiego rodzaju złośliwe oprogramowanie i oprogramowanie typu crapware, które instaluje się automatycznie za każdym razem, gdy nie zwracasz uwagi podczas instalowania oprogramowania. Prawie każdy darmowy program na rynku, w tym te "renomowane", łączy w pary paski narzędzi, przeszukuje okropności lub oprogramowanie reklamowe, a niektóre z nich trudno jest rozwiązać..

    Widzieliśmy wiele komputerów od ludzi, których wiemy, że mają zainstalowane tak dużo programów szpiegujących i adware, że komputer ledwie się ładuje. Próba załadowania przeglądarki internetowej, w szczególności, jest prawie niemożliwa, ponieważ wszystkie programy adware i śledzące rywalizują o zasoby, aby wykraść twoje prywatne informacje i sprzedać je najwyższemu licytantowi.

    Tak więc naturalnie chcieliśmy zbadać, jak niektóre z nich działają i nie ma lepszego miejsca niż złośliwe oprogramowanie Search Conduit, które pochłonęło setki milionów komputerów na całym świecie. Ta nikczemna okropność przejmuje kontrolę nad twoją wyszukiwarką w przeglądarce, zmienia stronę domową, a najbardziej irytująco przejmuje stronę Nowa karta bez względu na to, jaka jest twoja przeglądarka.

    Zaczniemy od obejrzenia tego, a następnie pokażemy, jak używać Eksploratora procesów do rozwiązywania problemów związanych z zablokowanymi plikami i folderami, które są w użyciu.

    Następnie omówimy, jak niektóre adware ukrywają się za procesami Microsoftu, dzięki czemu wydają się być uzasadnione w Eksploratorze procesów lub Menedżerze zadań, mimo że w rzeczywistości nie są.

    Badanie złośliwego oprogramowania Search Conduit

    Jak już wspomnieliśmy, porywacz Search Conduit to jedna z najbardziej wytrwałych, okropnych i okropnych rzeczy, które prawie każda z twoich krewnych prawdopodobnie ma na swoim komputerze. Łączą swoje oprogramowanie w podejrzany sposób z dowolnym freeware, które mogą, aw wielu przypadkach, nawet jeśli zdecydujesz się zrezygnować, porywacz będzie nadal zainstalowany.

    Conduit instaluje to, co nazywa "Search Protect", które według nich uniemożliwia złośliwym programom wprowadzanie zmian w przeglądarce. Nie wspominają o tym, że uniemożliwiają również wprowadzanie jakichkolwiek zmian w przeglądarce, chyba że użyjesz panelu Search Protect do wprowadzenia zmian, o których większość ludzi nie będzie wiedzieć, ponieważ są one ukryte w zasobniku systemowym..

    Conduit nie tylko przekieruje wszystkie twoje wyszukiwania na swoją własną stronę Bing, ale ustawi ją jako stronę główną. Trzeba by założyć, że Microsoft płaci im za cały ten ruch do Bing, ponieważ oni również przekazują niektóre ?pc = kanał typ argumentów w ciągu zapytania.

    Ciekawostka: firma stojąca za tym śmieciem ma wartość 1,5 miliarda dolarów, a JP Morgan zainwestował w nie 100 milionów dolarów. Bycie złym jest opłacalne.

    Conduit przejmuje kontrolę nad nową kartą ... Ale jak?

    Przejęcie kontroli nad stroną główną i wyszukiwaniem jest trywialne w przypadku każdego złośliwego oprogramowania - tutaj Conduit usuwa złośliwość i w jakiś sposób przepisuje stronę Nowa karta, aby wymusić jej wyświetlanie Conduit, nawet jeśli zmienisz każde ustawienie.

    Możesz odinstalować wszystkie przeglądarki, a nawet zainstalować przeglądarkę, której wcześniej nie instalowałeś, np. Firefox lub Chrome, a Conduit nadal będzie w stanie przechwycić stronę Nowa karta.

    Ktoś powinien być w więzieniu, ale prawdopodobnie jest na jachcie.

    Nie trzeba wiele, jeśli chodzi o umiejętności maniaków, aby ostatecznie wydedukować, że problemem jest aplikacja Search Protect działająca w zasobniku systemowym. Zabij ten proces i nagle twoje nowe karty zostaną otwarte w sposób zamierzony przez twórcę przeglądarki.

    Ale jak dokładnie to robi? W żadnej z przeglądarek nie ma żadnych dodatków ani rozszerzeń. Nie ma żadnych wtyczek. Rejestr jest czysty. Jak oni to robią?

    Tutaj przechodzimy do Process Explorer, aby przeprowadzić pewne dochodzenie. Najpierw na liście znajdzie się proces Search Protect, który jest dość łatwy, ponieważ został poprawnie nazwany, ale jeśli nie byłeś pewien, zawsze możesz otworzyć okno i użyć ikony małego buczenia obok lornetki, aby dowiedzieć się, który proces należy do okna.

    Teraz możesz po prostu wybrać odpowiedni proces, który w tym przypadku był jednym z trzech uruchomionych automatycznie przez usługę Windows, którą instaluje Conduit. Skąd wiedziałem, że to usługa Windows ponownie ją uruchamia? Ponieważ kolor tego rzędu jest oczywiście różowy. Uzbrojony w tę wiedzę, zawsze mogę iść zatrzymać lub usunąć usługę (choć w tym przypadku można po prostu odinstalować z odinstalować programy w Panelu sterowania).

    Po wybraniu tego procesu można użyć klawiszy skrótu CTRL + H lub CTRL + D, aby otworzyć widok Uchwyty lub widok bibliotek DLL, lub można użyć menu Widok -> menu Dolny panel, aby to zrobić..

    Uwaga: w świecie systemu Windows "uchwyt" jest wartością całkowitą używaną do jednoznacznego identyfikowania zasobu w pamięci, takiego jak okno, otwarty plik, proces lub wiele innych rzeczy. Każde otwarte okno aplikacji na komputerze ma na przykład unikalny "uchwyt okna", który można wykorzystać do odniesienia się do niego.

    Pliki DLL lub biblioteki dołączane dynamicznie są udostępnianymi fragmentami skompilowanego kodu, które są przechowywane w oddzielnym pliku, aby można było je współużytkować w wielu aplikacjach. Na przykład, zamiast kazać każdej aplikacji pisać własne okna dialogowe otwierania / zapisywania plików, wszystkie aplikacje mogą po prostu użyć wspólnego kodu dialogowego podanego przez system Windows w pliku comdlg32.dll.

    Przeglądanie listy uchwytów przez kilka minut przybliżyło nas trochę do tego, co się działo, ponieważ znaleźliśmy uchwyty do przeglądarki Internet Explorer i Chrome, które są obecnie otwarte w systemie testowym. Zdecydowanie potwierdziliśmy, że Search Protect robi coś w naszych otwartych oknach przeglądarki, ale musimy zrobić trochę więcej badań, aby dowiedzieć się, co dokładnie.

    Następną rzeczą do zrobienia jest dwukrotne kliknięcie procesu na liście, aby otworzyć widok szczegółów, a następnie przejść do zakładki Obraz, która da ci informacje o pełnej ścieżce do pliku wykonywalnego, linii poleceń, a nawet folder roboczy. Kliknij przycisk Przeglądaj, aby przejrzeć folder instalacji i zobaczyć, co jeszcze tam się ukrywa.

    Ciekawy! Znaleźliśmy tutaj wiele plików DLL, ale z jakiegoś dziwnego powodu żaden z tych plików DLL nie był wymieniony w widoku DLL dla procesu Search Protect, kiedy patrzyliśmy na niego wcześniej. To może być problem.

    Następna strona: Radzenie sobie z zablokowanymi plikami i folderami