Înțelegerea modului de funcționare a dialogurilor și a opțiunilor Process Explorer este bine și bună, dar cum să îl folosiți pentru rezolvarea efectivă sau pentru a diagnostica o problemă? Lecția școlii de la Geek de astăzi va încerca să vă ajute să învățați cum să faceți acest lucru.

ȘCOALĂ NAVIGAȚIE
  1. Care sunt instrumentele SysInternals și cum le folosiți?
  2. Înțelegerea Process Explorer
  3. Utilizarea Process Explorer pentru depanarea și diagnosticarea
  4. Înțelegerea procesului de monitorizare
  5. Utilizarea monitorului de proces pentru a depana și a găsi hack-uri de registru
  6. Utilizarea autorunelor pentru a face față proceselor de pornire și a programelor malware
  7. Folosind BgInfo pentru a afișa informații despre sistem pe desktop
  8. Utilizarea PsTools pentru a controla alte PC-uri de la linia de comandă
  9. Analizați și gestionați fișierele, folderele și driverele
  10. Înfășurarea și utilizarea împreună a uneltelor

Nu cu mult timp în urmă, am început să investigăm tot felul de malware și crackware care se instalează automat ori de câte ori nu acordați atenție în timp ce instalați software-ul. Aproape fiecare bucată de freeware de pe piață, inclusiv cele "de renume", este gruparea barelor de instrumente, căutarea de deturnare îngrozitoare sau adware, iar unele dintre ele sunt greu de depanat.

Am văzut multe computere de la oameni pe care știm că au instalat atât de mult spyware și adware încât PC-ul abia se încarcă. Încercarea de a încărca browserul web, în ​​special, este aproape imposibilă, deoarece tot software-ul de adware și urmărire concurează pentru resurse pentru a vă fura informațiile private și pentru a le vinde celui care oferă cea mai mare ofertă.

Așadar, am vrut să facem câteva investigații despre cum funcționează unele dintre acestea și nu există un loc mai bun pentru a începe decât malware-ul Conduit Search care a revendicat sute de milioane de computere din întreaga lume. Această îngrozitoare furtună îți hulă motoarele de căutare în browserul tău, îți schimbă pagina de pornire și, cel mai deranjant, îți preia pagina de filă nouă, indiferent de setarea browserului tău.

Vom începe să analizăm acest lucru și apoi vă vom arăta cum să utilizați Process Explorer pentru a depana erorile care vorbesc despre fișierele și folderele blocate care sunt utilizate.

Apoi, o vom analiza cu privire la modul în care unele adware din aceste zile se ascund în spatele proceselor Microsoft, astfel încât acestea să pară legitime în Process Explorer sau Task Manager, chiar dacă într-adevăr nu sunt.

Investigarea malware-ului Search Conduit

După cum am menționat, căutătorul de căutare pentru Conduit este unul dintre cele mai persistente, îngrozitoare și teribile lucruri pe care probabil aproape fiecare dintre rudele tale le are pe computerul lor. Acestea le cuplează software-ul în moduri umbrite cu orice freeware pe care îl pot și, în multe cazuri, chiar dacă alegeți să renunțați, acesta va fi încă instalat.

Conduit instalează ceea ce ei numesc "Protejați căutarea", pe care îl pretind că previne ca malware-ul să nu efectueze modificări în browserul dvs. Ceea ce nu menționează este că vă împiedică de asemenea să faceți modificări în browserul dvs., dacă nu utilizați panoul de căutare Protecție pentru a efectua acele modificări, pe care majoritatea oamenilor nu le vor cunoaște, deoarece sunt îngropate în tava de sistem.

Nu numai că Conduit va redirecționa toate căutările pe propria pagină personalizată Bing, ci va stabili ca pagină de pornire. Unul ar trebui să presupună că Microsoft îi plătește pentru tot acest trafic lui Bing, deoarece trece și ei ? Pc = conductă tipul de argumente în șirul de interogare.

De fapt, compania din spatele acestei gunoaie este în valoare de 1,5 miliarde de dolari, iar JP Morgan a investit 100 de milioane de dolari în acestea. A fi rău este profitabilă.

Conduit deturnează pagina filă nouă ... Dar cum?

Deturnarea paginii dvs. de căutare și a paginii de pornire este banală pentru orice program malware - acesta este locul în care Conduit avansează răul și rescrie oarecum pagina New Tab pentru al forța să afișeze Conduit, chiar dacă schimbați fiecare setare.

Puteți să dezinstalați toate browserele dvs. sau chiar să instalați un browser pe care nu l-ați instalat înainte, cum ar fi Firefox sau Chrome, iar Conduit va reuși să deturneze pagina Filă nouă.

Nu este nevoie de prea mult în ceea ce privește abilitățile geek pentru a deduce eventual că problema este aplicația Search Protect care rulează în tava de sistem. Ucideți acest proces și, brusc, noile dvs. file se deschid exact așa cum intenționează producătorul browserului.

Dar cum, exact, face asta? Nu există programe de completare sau extensii instalate în niciunul dintre browsere. Nu există pluginuri. Registrul este curat. Cum o fac?

Aici ne întoarcem la Process Explorer pentru a face investigații. În primul rând, vom găsi procesul de căutare Protect în listă, care este destul de ușor pentru că este corect numit, dar dacă nu sunteți sigur, puteți deschide întotdeauna fereastra și utilizați pictograma pic de taur lângă ochi binocluri pentru a afla care proces aparține unei ferestre.

Acum puteți selecta pur și simplu procesul corespunzător, care în acest caz a fost unul dintre cele trei care rulează automat de către serviciul Windows pe care Conduit instalează. Cum am știut că a fost un serviciu Windows care o repornește? Deoarece culoarea acelui rând este roz, desigur. Înarmat cu aceste cunoștințe, aș putea întotdeauna să mă opresc sau să șterg serviciul (deși în acest caz, puteți dezinstala pur și simplu de la Dezinstalare programe în Panoul de control).

Acum că ați selectat procesul, puteți utiliza tastele de comenzi rapide CTRL + H sau CTRL + D pentru a deschide vizualizarea Mânere sau afișarea DLL-urilor sau puteți utiliza meniul Vizualizare - Vizualizare panou inferior pentru a face acest lucru.

Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.

DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.

Privind în lista de mânere pentru câteva minute ne-a adus ceva mai aproape de ceea ce se întâmpla, pentru că am găsit mânere pentru Internet Explorer și Chrome, ambele fiind deschise în prezent pe sistemul de testare. Am confirmat cu siguranță că Search Protect face ceva în ferestrele deschise ale browserului nostru, dar va trebui să facem puțin mai multe cercetări pentru a afla exact ce.

Următorul lucru pe care trebuie să faceți este să faceți dublu clic pe procesul din listă pentru a deschide vizualizarea detaliilor și apoi să treceți la fila Imagine, care vă va oferi informații despre calea completă spre executabil, linia de comandă și chiar folderul de lucru. Vom face clic pe butonul Explore (Explorare) pentru a arunca o privire la dosarul de instalare și pentru a vedea ce altceva se ascunde acolo.

Interesant! Am găsit un număr de fișiere DLL aici, dar pentru unele motive ciudate nici unul dintre aceste fișiere DLL nu a fost afișat în vizualizarea DLL pentru procesul de căutare Protect atunci când am fost uita la el mai devreme. Aceasta ar putea fi o problemă.

Pagina următoare: Rezolvarea problemelor cu fișiere și foldere blocate

Sfaturi De Top:
Comentarii: