Utilizând Process Explorer pentru depanarea și diagnosticarea

Înțelegerea modului de funcționare a dialogurilor și a opțiunilor Process Explorer este bine și bună, dar cum să îl folosiți pentru rezolvări reale sau pentru a diagnostica o problemă? Lecția de școală din ziua de astăzi va încerca să vă ajute să învățați cum să faceți acest lucru.

ȘCOLAREA NAVIGAȚIEI

1. Care sunt instrumentele SysInternals și cum le folosiți?
2. Înțelegerea Process Explorer
3. Utilizând Process Explorer pentru depanarea și diagnosticarea
4. Înțelegerea procesului de monitorizare
5. Utilizarea monitorului de proces pentru a depana și a găsi hack-uri de registru
6. Utilizarea autorunelor pentru a face față proceselor de pornire și a programelor malware
7. Folosind BgInfo pentru a afișa informații despre sistem pe desktop
8. Utilizarea PsTools pentru a controla alte PC-uri de la linia de comandă
9. Analizați și gestionați fișierele, folderele și driverele
10. Înfășurarea și utilizarea împreună a uneltelor

Nu cu mult timp în urmă, am început să investigăm tot felul de malware și crackware care se instalează automat ori de câte ori nu acordați atenție în timp ce instalați software-ul. Aproape fiecare piesă de freeware de pe piață, inclusiv cele "de renume", sunt pachete de bare de instrumente, căutați deturnare îngrozitor sau adware, iar unele dintre ele sunt greu de depanat.

Am văzut multe computere de la oameni, despre care știm că au instalat atât de mult spyware și adware, încât PC-ul abia se încarcă. Încercarea de a încărca browserul web, în ​​special, este aproape imposibilă, deoarece tot software-ul de adware și de urmărire concurează pentru ca resursele să vă fure informațiile private și să o vândă ofertantului cel mai mare.

Așadar, am vrut să facem un pic de investigație cu privire la modul în care o parte dintre acestea funcționează și nu există un loc mai bun pentru a începe decât malware-ul Conduit Search care a revendicat sute de milioane de computere din întreaga lume. Această îngrozitoare faptă jafă motorul dvs. de căutare în browserul dvs., modifică pagina dvs. de pornire și, cel mai enervant, preluă pagina dvs. de filă nouă, indiferent de ce este setat browserul dvs..

Vom începe să analizăm acest lucru și apoi vă vom arăta cum să utilizați Process Explorer pentru a depana erorile care vorbesc despre fișierele și folderele blocate care sunt în uz.

Și apoi o vom analiza cu privire la modul în care unele adware din aceste zile se ascund în spatele proceselor Microsoft, astfel încât acestea să pară legitime în Process Explorer sau Task Manager, chiar dacă într-adevăr nu sunt.

Investigarea malware-ului Search Conduit

După cum am menționat, căutătorul de căutare a Conduit este unul dintre cele mai persistente, îngrozitoare și teribile lucruri pe care probabil aproape fiecare dintre rudele tale le are pe computerul lor. Își bundle software-ul în moduri umbrite cu orice software freeware pe care îl pot utiliza și, în multe cazuri, chiar dacă alegeți să renunțați, acesta va fi în continuare instalat.

Conduit instalează ceea ce ei numesc "Protecție la căutare", pe care îl pretind că previne ca malware-ul să nu efectueze modificări în browserul dvs. Ceea ce nu menționează este că vă împiedică de asemenea să faceți modificări în browserul dvs. decât dacă utilizați panoul de căutare Protecție pentru a efectua acele modificări, pe care majoritatea oamenilor nu le vor cunoaște, deoarece sunt îngropate în tava de sistem.

Nu numai că Conduit va redirecționa toate căutările pe propria pagină personalizată Bing, ci va stabili ca pagină de pornire. Unul ar trebui să presupună că Microsoft îi plătește pentru tot acest trafic lui Bing, deoarece trece și ei ?pc = conductă tipul de argumente în șirul de interogare.

De fapt, compania din spatele acestei bucăți de gunoi este în valoare de 1,5 miliarde de dolari, iar JP Morgan a investit 100 de milioane de dolari în acestea. A fi rău este profitabilă.

Conduit deturnează pagina filă nouă ... Dar cum?

Deturnarea paginii dvs. de căutare și a paginii de pornire este banală pentru orice program malware - acesta este locul în care Conduit avansează răul și rescrie cumva pagina Filă nouă pentru al forța să afișeze Conduit, chiar dacă schimbați fiecare setare.

Puteți să dezinstalați toate browserele dvs. sau chiar să instalați un browser pe care nu l-ați instalat înainte, cum ar fi Firefox sau Chrome, iar Conduit va reuși încă să deturneze pagina Filă nouă.

Cineva ar trebui să fie în închisoare, dar probabil că se află pe un iaht.

Nu este nevoie de mult în ceea ce privește abilitățile geek pentru a deduce eventual că problema este aplicația Search Protect care rulează în tava de sistem. Ucideți acest proces și, brusc, fișierele noi se deschid exact așa cum intenționează producătorul browserului.

Dar cum face exact asta? Nu există programe de completare sau extensii instalate în niciunul dintre browsere. Nu există pluginuri. Registrul este curat. Cum o fac?

Aici ne îndreptăm către Process Explorer pentru a face investigații. În primul rând, vom găsi procesul de căutare protejat în listă, ceea ce este destul de ușor deoarece este corect numit, dar dacă nu sunteți sigur, puteți deschide întotdeauna fereastra și utilizați pictograma mică a taurului lângă binocluri pentru a afla care proces aparține unei ferestre.

Acum puteți selecta pur și simplu procesul adecvat, care în acest caz a fost unul dintre cele trei care se execută automat de serviciul Windows pe care Conduit instalează. Cum am știut că a fost un serviciu Windows care o repornește? Deoarece culoarea acelui rând este roz, desigur. Înarmat cu această cunoaștere, aș putea întotdeauna să mă opresc sau să șterg serviciul (deși în acest caz, puteți dezinstala pur și simplu de la Uninstall Programs din Control Panel).

Acum că ați selectat procesul, puteți utiliza tastele de comenzi rapide CTRL + H sau CTRL + D pentru a deschide vizualizarea Mânere sau afișarea DLL-urilor sau puteți utiliza meniul Vizualizare -> Panou inferior pentru a face acest lucru.

Notă: în lumea Windows, un "mâner" este o valoare întregă care este utilizată pentru a identifica în mod unic o resursă în memorie ca o fereastră, un fișier deschis, un proces sau multe alte lucruri. Fiecare fereastră deschisă de aplicații de pe computerul dvs. are un "mâner de fereastră" unic, de exemplu, care poate fi utilizat pentru a o referi.

DLL-uri sau biblioteci de legături dinamice sunt bucăți partajate de cod compilat care sunt stocate într-un fișier separat pentru a fi distribuite între mai multe aplicații. De exemplu, în loc de a avea fiecare aplicație să scrie propriile dialoguri de deschidere / salvare a fișierelor, toate aplicațiile pot folosi pur și simplu codul de dialog comun furnizat de Windows în fișierul comdlg32.dll.

Privind lista de mânere pentru câteva minute ne-a adus ceva mai aproape de ceea ce se întâmpla, pentru că am găsit mânere pentru Internet Explorer și Chrome, ambele fiind deschise în prezent pe sistemul de testare. Am confirmat clar că Search Protect face ceva în ferestrele deschise ale browserului, dar va trebui să facem mai multă cercetare pentru a afla exact ce.

Următorul lucru pe care trebuie să faceți este să faceți dublu clic pe procesul din listă pentru a deschide vizualizarea detaliilor și apoi să treceți la fila Imagine, care vă va oferi informații despre calea completă spre executabil, linia de comandă și chiar folderul de lucru. Vom da clic pe butonul Explore (Explorare) pentru a arunca o privire asupra dosarului de instalare și a vedea ce altceva se ascunde acolo.

Interesant! Am găsit un număr de fișiere DLL, dar pentru unele motive ciudate nici unul dintre aceste fișiere DLL nu a fost afișat în vizualizarea DLL pentru procesul de căutare Protect atunci când am fost uita la el mai devreme. Aceasta ar putea fi o problemă.

Pagina următoare: Lucrul cu fișierele și folderele blocate