Използване на Process Explorer за отстраняване на неизправности и диагностика

Разбирането как работят диалоговите прозорци и опции на Process Explorer са добри и добри, но какво да кажем за използването му за реално отстраняване на проблеми или за диагностициране на проблем? Урокът днес ще опита да ви помогне да научите как да правите точно това.

НАВИГАЦИЯ НА УЧИЛИЩАТА

1. Какви са инструментите на SysInternals и как ги използвате?
2. Запознаване с Process Explorer
3. Използване на Process Explorer за отстраняване на неизправности и диагностика
4. Разбиране на процесния монитор
5. Използване на процесния монитор за отстраняване на неизправности и търсене на регистър Hacks
6. Използване на Autoruns да се справят с процеси на стартиране и Malware
7. Използване на BgInfo за показване на системна информация на работния плот
8. Използване на PsTools за контрол на други компютри от командния ред
9. Анализ и управление на вашите файлове, папки и устройства
10. Опаковане и използване на инструментите заедно

Не толкова отдавна, започнахме да проучваме всякакви видове зловреден софтуер и crapware, които се инсталират автоматично всеки път, когато не обръщате внимание при инсталирането на софтуер. Почти всяка част от безплатната версия на пазара, включително „уважаваните“, са обединяване на ленти с инструменти, търсене на отвличане на ужас или рекламен софтуер, а някои от тях трудно могат да бъдат отстранени..

Виждали сме много компютри от хора, които знаем, че имат толкова много шпионски и рекламен софтуер, че компютърът почти не се натоварва дори повече. Опитът да се зареди уеб браузър, особено, е почти невъзможен, тъй като всички рекламен софтуер и софтуер за проследяване се конкурират за ресурси, за да откраднат личната ви информация и да я продадат на най-високата цена..

Естествено, ние искахме да направим малко проучване на начина, по който някои от тях работят, и няма по-добро място да започнете от зловредния софтуер Conduit Search, който претендира за стотици милиони компютри по целия свят. Тази зловеща ужас отвлича търсачката ви в браузъра ви, променя началната ви страница и най-досадно отнема страницата „Нов раздел“ без значение какво е настроено в браузъра ви.

Ще започнем с това, след което ще ви покажем как да използвате Process Explorer за отстраняване на грешки, които говорят за заключените файлове и папки, които се използват.

И тогава ще го разгледаме с още един поглед върху това как някои реклами в наши дни се крият зад процесите на Microsoft, за да изглеждат законни в Process Explorer или Task Manager, въпреки че наистина не са.

Разследване на злонамерен софтуер Conduit Search

Както споменахме, бандитът за търсене на Conduit е едно от най-упоритите, ужасни и ужасни неща, които почти всеки от роднините ви вероятно има на компютъра си. Те обединяват софтуера си в сенчести начини с всяка безплатна програма, която могат, и в много случаи, дори ако изберете да се откажете, похитителят все още ще бъде инсталиран.

Conduit инсталира това, което те наричат ​​„Search Protect“, за което твърдят, че не позволява на зловредния софтуер да прави промени в браузъра ви. Това, което те не споменават, е, че не ви позволява да правите никакви промени в браузъра си, освен ако не използвате техния панел „Защита за търсене“, за да направите тези промени, за които повечето хора не знаят, тъй като са погребани в системната лента..

Conduit не само ще пренасочи всичките си търсения към собствената си страница за Bing, но ще я зададе като начална страница. Човек би трябвало да приеме, че Microsoft им плаща за целия този трафик към Bing, тъй като те също така са преминали някои ?бр = тръбопровод тип аргументи в низ за заявка.

Забавен факт: компанията зад този боклук струва 1,5 милиарда долара и JP Morgan инвестира 100 милиона долара в тях. Да бъдеш зло е печелившо.

Conduit Hijacks на новия раздел на страницата ... Но как?

Отвличането на търсенето и началната ви страница е тривиално за всеки зловреден софтуер - това е мястото, където Conduit увеличава злото и по някакъв начин пренаписва страницата „Нов раздел“, за да я принуди да показва Conduit, дори ако промените всяка отделна настройка.

Можете да деинсталирате всичките си браузъри или дори да инсталирате браузър, който не сте инсталирали преди, като Firefox или Chrome, а Conduit все още ще успее да отвлече страницата „Нов раздел“.

Някой трябва да е в затвора, но вероятно са на яхта.

Това не отнема много по отношение на умения за маниаци, за да се стигне до заключението, че проблемът е приложението за защита на търсенето, което се изпълнява в системната област. Убийте този процес и внезапно новите ви раздели се отварят точно по начина, по който е предназначен браузърът.

Но как точно прави това? Няма добавки или разширения, инсталирани в нито един от браузърите. Няма приставки. Регистърът е чист. Как го правят?

Това е мястото, където се обръщаме към Process Explorer, за да извършим известно разследване. Първо, ще намерим процеса за защита на търсенето в списъка, който е достатъчно лесен, защото е правилно посочен, но ако не сте сигурни, винаги можете да отворите прозореца и да използвате иконата на малкия бик до бинокъл, за да разбере кой процес принадлежи на прозореца.

Сега можете просто да изберете подходящия процес, който в този случай е един от трите, които се изпълняват автоматично от Windows Service, която Conduit инсталира. Как разбрах, че това е услуга на Windows, която я рестартира? Защото цветът на този ред е розов, разбира се. Въоръжени с тези познания, винаги мога да спра или да изтрия услугата (макар че в този конкретен случай можете просто да деинсталирате от Деинсталиране на програми в контролния панел).

Сега, след като сте избрали процеса, можете да използвате клавишните комбинации CTRL + H или CTRL + D, за да отворите изгледа на дръжките или DLL, или можете да използвате менюто Изглед -> Долен екран - за да го направите..

Забележка: в света на Windows, "дръжката" е цяло число, което се използва за уникално идентифициране на ресурс в паметта като прозорец, отворен файл, процес или много други неща. Всеки отворен прозорец на приложението на вашия компютър има уникална "дръжка на прозореца", например, която може да се използва за позоваване на нея.

DLL файловете или библиотеките с динамични връзки са споделени части от компилиран код, които се съхраняват в отделен файл и се споделят между няколко приложения. Например, вместо всяко приложение да пише свои собствени диалогови прозорци за отваряне / запазване на файлове, всички приложения могат просто да използват общия диалогов код, предоставен от Windows в файла comdlg32.dll..

Преглеждане на списъка с дръжки за няколко минути ни донесе малко по-близо до това, което се случва, защото открихме дръжки за Internet Explorer и Chrome, като и двете от тях са отворени в тестовата система. Определено потвърдихме, че Search Protect прави нещо с нашите отворени прозорци на браузъра, но ще трябва да направим малко повече изследвания, за да разберем точно какво.

Следващото нещо, което трябва да направите, е да кликнете два пъти върху процеса в списъка, за да отворите изгледа с подробности, след което преминете към раздела Изображение, който ще ви даде информация за пълния път до изпълнимия файл, командния ред и дори работна папка. Ще кликнем върху бутона Изследване, за да разгледаме инсталационната папка и да видим какво още се крие там.

Интересно! Открихме редица DLL файлове тук, но по някаква странна причина никой от тези DLL файлове не е бил вписан в DLL изгледа за процеса на защита на търсенето, когато го разглеждахме по-рано. Това може да е проблем.

Следваща страница: Справяне с заключени файлове и папки