Početna » škola » Korištenje Process Explorer za rješavanje problema i dijagnosticiranje

    Korištenje Process Explorer za rješavanje problema i dijagnosticiranje

    Razumijevanje funkcioniranja dijaloga i opcija u programu Process Explorer je u redu i dobro, ali što je s korištenjem istih za rješavanje problema ili dijagnosticiranje problema? Današnji sat Geek škole pokušat će vam pomoći naučiti kako to učiniti.

    ŠKOLSKA NAVIGACIJA
    1. Što su SysInternals alati i kako ih koristite?
    2. Razumijevanje procesa Explorer
    3. Korištenje Process Explorer za rješavanje problema i dijagnosticiranje
    4. Razumijevanje procesa Monitor
    5. Korištenje procesa Monitor za rješavanje problema i pronaći Registry Hacks
    6. Korištenje Autoruns se nositi s pokretanja procesa i zlonamjernih programa
    7. Koristeći BgInfo za prikaz informacija o sustavu na radnoj površini
    8. Korištenje PsTools za kontrolu drugih računala iz naredbenog retka
    9. Analiziranje i upravljanje vašim datotekama, mapama i pogonima
    10. Zamatanje i korištenje alata zajedno

    Ne tako davno, počeli smo istraživati ​​sve vrste zlonamjernih programa i uslužnih programa koji se automatski instaliraju kad god ne budete obraćali pozornost prilikom instaliranja softvera. Gotovo svaki komad besplatnog softvera na tržištu, uključujući i one "ugledne", povezuju alatne trake, pretražuju otmice ili adware, a neke je teško otkloniti.

    Vidjeli smo mnoga računala od ljudi za koje znamo da su instalirani toliko spyware i adwarea da se računalo jedva opterećuje. Pokušaj učitavanja web-preglednika, pogotovo, gotovo je nemoguć, budući da se sav adware i softver za praćenje natječu za resurse za krađu vaših osobnih podataka i prodaju ih najvišem ponuđaču.

    Naravno, htjeli smo malo istražiti kako neki od njih rade, a nema boljeg mjesta za početak od malwarea Conduit Search koji je potraživao stotine milijuna računala širom svijeta. Ta zlobna grozota otima vašu tražilicu u vašem pregledniku, mijenja početnu stranicu i najviše smeta, preuzima vašu stranicu Nova kartica bez obzira na to što je vaš preglednik postavljen na.

    Počećemo gledati na to, a zatim ćemo vam pokazati kako koristiti Process Explorer za otklanjanje pogrešaka koje govore o zaključanim datotekama i mapama koje se koriste.

    A onda ćemo ga zaokružiti još jednim pogledom na to kako se neki adver ovih dana skriva iza Microsoftovih procesa kako bi se pojavili u programu Process Explorer ili Task Manager, iako oni zapravo nisu.

    Ispitivanje zlonamjernog softvera Conduit Search

    Kao što smo spomenuli, Conduit otmičar za pretraživanje je jedna od najupornijih, užasnih i užasnih stvari koje gotovo svi vaši rođaci vjerojatno imaju na svom računalu. Oni pakiraju softver na mutne načine s bilo kojim besplatnim programom koji mogu, au mnogim slučajevima, čak i ako odaberete isključivanje, otmičar će i dalje biti instaliran.

    Conduit instalira ono što oni nazivaju "Search Protect", za koji tvrde da sprječava promjene zlonamjernog softvera u vašem pregledniku. Ono što oni ne spominju je da vas također sprječava da unesete bilo kakve izmjene u svoj preglednik ako ne upotrijebite njihovu ploču Zaštita pretraživanja da biste napravili te izmjene, o kojima većina ljudi neće znati jer je zakopana u sistemskoj traci.

    Ne samo da će Conduit preusmjeriti sva vaša pretraživanja na vlastitu prilagođenu Bing stranicu, već će to postaviti i kao početnu stranicu. Moglo bi se pretpostaviti da ih Microsoft plaća za sav taj promet Bingu, jer i oni prolaze ?PC = provod vrsta argumenata u nizu upita.

    Zanimljiva činjenica: tvrtka iza ovog komada smeća vrijedi 1,5 milijardi dolara, a JP Morgan je u njih uložio 100 milijuna dolara. Biti zlo je isplativo.

    Conduit otima stranicu nove kartice ... Ali kako?

    Otmica vaše pretraživačke i početne stranice je trivijalna za bilo koji zlonamjerni softver - to je mjesto gdje Conduit povećava zlo i na neki način prepisuje stranicu Nova kartica kako bi je prisilio da pokaže Conduit, čak i ako promijenite svaku postavku.

    Možete deinstalirati sve svoje preglednike ili čak instalirati preglednik koji ranije niste instalirali, kao što su Firefox ili Chrome, a Conduit će i dalje uspjeti oteti stranicu Nova kartica.

    Netko bi trebao biti u zatvoru, ali vjerojatno su na jahti.

    To ne uzeti puno u smislu geek vještine na kraju zaključiti da je problem Search Protect aplikacija pokrenuta u traci sustava. Ubijte taj proces i odjednom se vaše nove kartice otvaraju upravo onako kako je to namjeravao proizvođač preglednika.

    Ali kako to točno radi? Nema dodataka ili proširenja instaliranih u bilo koji preglednik. Nema dodataka. Registar je čist. Kako to oni rade?

    Ovo je mjesto gdje se okrećemo Process Explorer-u da bismo proveli istraživanje. Prvo, na popisu ćemo pronaći proces Zaštita pretraživanja, što je dovoljno jednostavno jer je ispravno imenovan, ali ako niste bili sigurni, uvijek možete otvoriti prozor i upotrijebiti malu ikonu bikova oko dalekozor kako bi se utvrdio proces koji pripada prozoru.

    Sada možete jednostavno odabrati odgovarajući proces, koji je u ovom slučaju bio jedan od tri koji se automatski pokreću od strane Windows servisa koji Conduit instalira. Kako sam znao da je to Windows servis koji ga ponovno pokreće? Jer boja tog reda je ružičasta, naravno. Naoružani tim znanjem, uvijek mogu prestati ili izbrisati uslugu (iako u ovom slučaju jednostavno možete deinstalirati iz programa za deinstaliranje na upravljačkoj ploči).

    Sada kada ste odabrali postupak, možete koristiti prečace CTRL + H ili CTRL + D za otvaranje prikaza Ručke ili prikaza DLL-ova ili možete upotrijebiti izbornik Prikaz -> Donji prikaz prozora da biste to učinili.

    Bilješka: u svijetu Windowsa, "handle" je cjelobrojna vrijednost koja se koristi za jedinstveno identificiranje resursa u memoriji poput prozora, otvorene datoteke, procesa ili mnogih drugih stvari. Svaki otvoreni prozor aplikacije na vašem računalu ima jedinstvenu "ručicu prozora", na primjer, koja se može koristiti za referencu.

    DLL-ovi ili biblioteke s dinamičkim vezama su zajednički dijelovi prevedenog koda koji se pohranjuju u zasebnu datoteku kako bi se dijelili između više aplikacija. Na primjer, umjesto da svaka aplikacija napiše vlastite dijaloge za otvaranje / spremanje datoteka, sve aplikacije mogu jednostavno koristiti zajednički dijalog koji pruža Windows u datoteci comdlg32.dll.

    Pregledavanje popisa ručki za nekoliko minuta dovelo nas je malo bliže onome što se događalo, jer smo pronašli ručke za Internet Explorer i Chrome, koji su trenutno otvoreni na testnom sustavu. Definitivno smo potvrdili da Search Protect radi nešto s našim otvorenim prozorima preglednika, ali morat ćemo napraviti malo više istraživanja kako bismo shvatili što točno.

    Sljedeća stvar je dvaput kliknuti na proces na popisu da biste otvorili prikaz detalja, a zatim prelazite na karticu Slika koja će vam dati informacije o cijeloj putanji do izvršne datoteke, naredbenog retka, pa čak i radna mapa. Kliknite gumb Istraživanje da biste pogledali instalacijsku mapu i vidjeli što se još skriva.

    Zanimljiv! Ovdje smo pronašli brojne DLL datoteke, ali iz nekog čudnog razloga nijedna od tih DLL datoteka nije bila navedena u DLL prikazu za proces Zaštita pretraživanja kada smo ga gledali ranije. To bi mogao biti problem.

    Sljedeća stranica: Suočavanje s zaključanim datotekama i mapama