Domača » šoli » Uporaba raziskovalca procesov za odpravljanje težav in diagnosticiranje

    Uporaba raziskovalca procesov za odpravljanje težav in diagnosticiranje

    Razumevanje delovanja pogovornih oken in možnosti v programu Process Explorer je v redu in dobro, toda kaj je z uporabo za nekatere dejanske težave ali za diagnosticiranje težave? Današnja lekcija šole Geek vam bo pomagala naučiti, kako to storiti.

    ŠOLSKA NAVIGACIJA
    1. Kaj so orodja SysInternals in kako jih uporabljate?
    2. Razumevanje Process Explorerja
    3. Uporaba raziskovalca procesov za odpravljanje težav in diagnosticiranje
    4. Razumevanje procesa Monitor
    5. Uporaba Process Monitor za odpravljanje težav in najti registracija Hacks
    6. Uporaba Autoruns za obravnavo zagonskih procesov in Malware
    7. Uporaba BgInfo za prikaz informacij o sistemu na namizju
    8. Uporaba PsTools za nadzor drugih osebnih računalnikov iz ukazne vrstice
    9. Analiziranje in upravljanje datotek, map in pogonov
    10. Zavijanje in uporaba orodij skupaj

    Ne tako dolgo nazaj, smo začeli preiskovati vse vrste malware in crapware, ki postane samodejno nameščen kadarkoli ne boste pozorni med namestitvijo programske opreme. Skoraj vsak kos brezplačne programske opreme na trgu, vključno z uglednimi, je povezovanje orodnih vrstic, iskanje ugrabitev ali adware, nekatere pa je težko odpraviti..

    Videli smo veliko računalnikov od ljudi, ki vemo, da je toliko spyware in adware nameščen, da je računalnik komaj celo obremenitve več. Poskus nalaganja spletnega brskalnika je še posebej skoraj nemogoč, saj vsa programska oprema za oglaševanje in sledenje tekmuje za vire za krajo vaših zasebnih podatkov in njihovo prodajo najboljšemu ponudniku.

    Torej smo seveda želeli narediti nekaj raziskav o tem, kako nekatera od njih delujejo, in ni boljšega začetka od malwarea Conduit Search, ki je zahteval več sto milijonov računalnikov po vsem svetu. Ta zlobna grozota zavzema vaš iskalnik v brskalniku, spremeni domačo stran in najbolj moteče prevzame stran »Nov zavihek« ne glede na to, kaj je vaš brskalnik nastavljen na.

    Začeli bomo s pregledovanjem tega, nato pa vam bomo pokazali, kako uporabite Process Explorer za odpravljanje napak, ki govorijo o zaklenjenih datotekah in mapah, ki so v uporabi..

    In potem bomo to še enkrat pregledali, kako se nekateri adware v teh dneh skrivajo za Microsoftove procese, tako da se zdijo zakoniti v Process Explorerju ali upravitelju opravil, čeprav resnično niso.

    Preiskovanje zlonamerne programske opreme Conduit Search

    Kot smo omenili, je Conduitov iskalnik ugrabiteljev ena najbolj vztrajnih, groznih in groznih stvari, ki jih skoraj vsak od vaših sorodnikov verjetno ima na svojem računalniku. Svojo programsko opremo združijo v senčnih načinih z vsemi brezplačnimi programi, ki jih lahko, in v mnogih primerih, tudi če izberete možnost zavrnitve, bo ugrabitelj še vedno nameščen.

    Conduit namesti tako imenovano »Search Protect«, za katero trdijo, da preprečuje, da bi zlonamerna programska oprema spremenila vaš brskalnik. Ne omenjajo, da vam preprečujejo tudi spremembe v brskalniku, razen če s ploščo za zaščito iskanja uporabite te spremembe, o katerih večina ljudi ne ve, saj je zakopana v sistemski vrstici.

    Ne samo, da bo Conduit preusmeril vsa vaša iskanja na svojo lastno stran Bing, ampak jo bo nastavil kot svojo domačo stran. Eden bi moral domnevati, da jih Microsoft plačuje za ves ta promet na Bing, saj so tudi nekateri ?pc = kanal Vrsta argumentov v nizu poizvedbe.

    Zabavno dejstvo: podjetje za tem kosom smeti je vredno 1,5 milijarde dolarjev, JP Morgan pa je v njih vložil 100 milijonov dolarjev. Biti zlo je donosno.

    Conduit zavzema stran novega zavihka… Ampak kako?

    Ugrabitev vaše iskalne in domače strani je nepomembna za vse zlonamerne programske opreme - to je mesto, kjer Conduit poveča zlo in nekako ponovno napiše stran »Nov zavihek«, da jo prisili, da prikaže Conduit, tudi če spremenite vsako nastavitev.

    Lahko odstranite vse svoje brskalnike ali celo namestite brskalnik, ki ga pred tem niste namestili, kot sta Firefox ali Chrome, Conduit pa bo še vedno uspel ugrabiti stran »Nov zavihek«.

    Nekdo bi moral biti v zaporu, vendar so verjetno na jahti.

    To ne traja veliko v smislu geek spretnosti, da bi sčasoma sklepali, da je težava v aplikaciji za zaščito iskanja, ki se izvaja v sistemski vrstici. Ubijte ta proces in nenadoma se vaši novi zavihki odprejo tako, kot je namenjen ustvarjalcu brskalnika.

    Toda kako točno to počne? V nobenem brskalniku ni nameščenih nobenih dodatkov ali razširitev. Ni vtičnikov. Register je čist. Kako to počnejo?

    Tukaj se obrnemo na Process Explorer, da opravimo nekaj preiskav. Najprej bomo na seznamu našli postopek za zaščito iskanja, ki je dovolj preprost, ker je pravilno imenovan, če pa niste bili prepričani, lahko vedno odprete okno in uporabite ikono za malo bikovo oko poleg daljnogled, da ugotovite, kateri proces pripada oknu.

    Zdaj lahko preprosto izberete ustrezen postopek, ki je bil v tem primeru eden izmed treh, ki se samodejno zažene s storitvijo Windows, ki jo Conduit namesti. Kako vem, da je storitev Windows, ki jo ponovno zažene? Ker je barva te vrstice rožnata, seveda. Oboroženi s tem znanjem, sem lahko vedno ustavil ali izbrisal storitev (čeprav lahko v tem primeru preprosto odstranite iz programa Odstrani programe na nadzorni plošči).

    Zdaj, ko ste izbrali postopek, lahko z bližnjicami CTRL + H ali CTRL + D odprete pogled ročic ali pogled DLL ali pa uporabite meni Pogled -> Pogled spodnjega podokna, da to storite.

    Opomba: v svetu Windows je "ročaj" cela vrednost, ki se uporablja za enkratno identifikacijo vira v pomnilniku, kot je okno, odprta datoteka, proces ali veliko drugih stvari. Vsako odprto okno aplikacije na vašem računalniku ima na primer edinstven »ročaj okna«, ki ga lahko uporabite za referenco.

    DLL-ji ali knjižnice z dinamičnimi povezavami so skupni deli prevedene kode, ki so shranjeni v ločeni datoteki za skupno uporabo v več aplikacijah. Na primer, namesto, da bi vsaka aplikacija zapisovala lastna pogovorna okna za odpiranje / shranjevanje datotek, lahko vse aplikacije preprosto uporabijo skupno kodo za pogovorno okno, ki jo ponuja Windows v datoteki comdlg32.dll..

    Če pogledamo seznam ročic za nekaj minut, smo se malo približali dogajanju, saj smo našli ročaje za Internet Explorer in Chrome, ki sta trenutno odprti v testnem sistemu. Vsekakor smo potrdili, da Search Protect nekaj počne našim odprtim oknom brskalnika, vendar bomo morali narediti še nekaj raziskav, da bi ugotovili, kaj točno.

    Naslednja stvar, ki jo morate storiti, je dvokliknite proces na seznamu, da odprete pogled s podrobnostmi, in nato obrnite na kartico Slika, ki vam bo dala informacije o celotni poti do izvršljive datoteke, ukazne vrstice in celo delovna mapa. Kliknite gumb Razišči, da si ogledate namestitveno mapo in vidite, kaj se tam skriva.

    Zanimivo! Tukaj smo našli številne datoteke DLL, toda iz nekega nenavadnega razloga nobena od teh datotek DLL ni bila navedena v pogledu DLL za proces iskanja zaščitnega sredstva, ko smo ga prej pregledali. To bi lahko bil problem.

    Naslednja stran: obravnava zaklenjenih datotek in map