Использование Process Explorer для устранения неполадок и диагностики

Понимание того, как работают диалоги и параметры Process Explorer, все хорошо и хорошо, но как насчет того, чтобы использовать его для какого-то фактического устранения неполадок или для диагностики проблемы? Сегодняшний урок Geek School поможет вам научиться делать это..

ШКОЛЬНАЯ НАВИГАЦИЯ

1. Что такое инструменты SysInternals и как вы ими пользуетесь?
2. Понимание Process Explorer
3. Использование Process Explorer для устранения неполадок и диагностики
4. Понимание Process Monitor
5. Использование Process Monitor для устранения неполадок и поиска взлома реестра
6. Использование автозапуска для работы с процессами запуска и вредоносными программами
7. Использование BgInfo для отображения системной информации на рабочем столе
8. Использование PsTools для управления другими ПК из командной строки
9. Анализ и управление вашими файлами, папками и дисками
10. Заключение и совместное использование инструментов

Не так давно мы начали исследовать все виды вредоносного и программного обеспечения, которое устанавливается автоматически каждый раз, когда вы не обращаете внимания при установке программного обеспечения. Почти все бесплатные программные продукты на рынке, в том числе «авторитетные», включают в себя панели инструментов, ужасные поиски или рекламное ПО, и некоторые из них трудно устранить..

Мы видели много компьютеров от людей, которые, как мы знаем, установили столько шпионского и рекламного ПО, что ПК даже больше не загружается. Попытка загрузить веб-браузер, в частности, практически невозможна, так как все рекламное и отслеживающее программное обеспечение конкурирует за ресурсы, позволяющие украсть вашу личную информацию и продать ее тем, кто предложит самую высокую цену..

Естественно, мы хотели провести небольшое исследование того, как некоторые из них работают, и нет лучшего места для начала, чем вредоносная программа Conduit Search, которая унесла сотни миллионов компьютеров по всему миру. Эта гнусная ужасность захватывает вашу поисковую систему в вашем браузере, меняет вашу домашнюю страницу и, что самое неприятное, она захватывает вашу страницу новой вкладки, независимо от того, какой браузер настроен на.

Мы начнем с рассмотрения этого, а затем покажем, как использовать Process Explorer для устранения ошибок, связанных с заблокированными файлами и папками, которые используются..

И затем мы закончим с другим взглядом на то, как некоторые рекламные программы в наши дни прячутся за процессами Microsoft, поэтому они выглядят законными в Process Explorer или Task Manager, даже если они на самом деле не являются таковыми..

Исследование вредоносного ПО для поиска в кабелепроводе

Как мы уже упоминали, поисковик-угонщик Conduit - это одна из самых стойких, ужасных и ужасных вещей, которые почти каждый из ваших родственников, вероятно, имеет на своем компьютере. Они связывают свое программное обеспечение нечеткими способами с любыми бесплатными программами, и во многих случаях, даже если вы решите отказаться, угонщик все равно будет установлен.

Conduit устанавливает то, что они называют «Search Protect», что, по их утверждению, не позволяет вредоносным программам вносить изменения в ваш браузер. Чего они не упоминают, так это того, что он также не позволяет вам вносить какие-либо изменения в их браузер, если только вы не используете их панель Search Protect для внесения этих изменений, о которых большинство людей не узнают, поскольку они находятся в системном трее..

Conduit не только перенаправит все ваши поиски на собственную страницу Bing, но и сделает ее домашней страницей. Можно предположить, что Microsoft платит им за весь этот трафик Bing, так как они также передают некоторые ?рс = трубопровод тип аргументов в строке запроса.

Интересный факт: компания, стоящая за этим мусором, стоит 1,5 миллиарда долларов, а JP Morgan вложил в них 100 миллионов долларов. Быть злым выгодно.

Conduit захватывает новую вкладку ... Но как?

Взлом вашей поисковой и домашней страницы является тривиальным для любого вредоносного ПО - вот где Conduit усиливает зло и каким-то образом переписывает страницу «Новая вкладка», чтобы заставить ее отображать Conduit, даже если вы меняете все настройки.

Вы можете удалить все свои браузеры или даже установить браузер, который вы не устанавливали ранее, например Firefox или Chrome, и Conduit все равно сможет захватить страницу «Новая вкладка»..

Кто-то должен быть в тюрьме, но они, вероятно, на яхте.

С точки зрения навыков гиков не требуется больших усилий, чтобы в конечном итоге сделать вывод, что проблема заключается в приложении Search Protect, запущенном в системном трее. Завершите этот процесс, и внезапно ваши новые вкладки откроются так, как задумал создатель браузера..

Но как именно это происходит? В любом из браузеров не установлены надстройки или расширения. Там нет никаких плагинов. Реестр чистый. Как они это делают?

Здесь мы обращаемся к Process Explorer, чтобы провести некоторое исследование. Во-первых, мы найдем процесс Search Protect в списке, который достаточно прост, потому что он правильно назван, но если вы не уверены, вы всегда можете открыть окно и использовать маленький значок «бычий глаз» рядом с бинокль, чтобы выяснить, какой процесс принадлежит окну.

Теперь вы можете просто выбрать соответствующий процесс, который в данном случае был одним из трех, которые автоматически запускаются службой Windows, которую устанавливает Conduit. Как я узнал, что служба Windows перезапускает ее? Потому что цвет этой строки розовый, конечно. Вооружившись этим знанием, я всегда мог остановить или удалить службу (хотя в этом конкретном случае вы можете просто удалить из программы удаления программ в панели управления).

Теперь, когда вы выбрали процесс, вы можете использовать сочетания клавиш CTRL + H или CTRL + D, чтобы открыть представление «Ручки» или представление DLL, или вы можете использовать меню «Вид» -> «Вид нижней панели», чтобы сделать это..

Замечания: в мире Windows «дескриптор» - это целочисленное значение, которое используется для уникальной идентификации ресурса в памяти, такого как окно, открытый файл, процесс или многие другие вещи. Каждое открытое окно приложения на вашем компьютере имеет, например, уникальный «дескриптор окна», который можно использовать для ссылки на него..

Библиотеки DLL, или библиотеки динамических ссылок, являются общими частями скомпилированного кода, которые хранятся в отдельном файле для совместного использования несколькими приложениями. Например, вместо того, чтобы каждое приложение записывало свои собственные диалоги открытия / сохранения файлов, все приложения могут просто использовать общий код диалога, предоставленный Windows в файле comdlg32.dll..

Просмотр списка маркеров в течение нескольких минут приблизил нас к тому, что происходило, потому что мы нашли маркеры для Internet Explorer и Chrome, которые в настоящее время открыты в тестовой системе. Мы определенно подтвердили, что Search Protect что-то делает с нашими открытыми окнами браузера, но нам нужно еще немного изучить, чтобы выяснить, что именно.

Следующее, что нужно сделать, это дважды щелкнуть процесс в списке, чтобы открыть представление сведений, а затем перейти на вкладку «Изображение», которая предоставит вам информацию о полном пути к исполняемому файлу, командной строке и даже рабочая папка. Мы нажмем кнопку «Исследовать», чтобы взглянуть на папку установки и посмотреть, что там еще скрывается..

Интересно! Мы нашли здесь несколько DLL-файлов, но по какой-то странной причине ни один из этих DLL-файлов не был указан в представлении DLL для процесса Search Protect, когда мы рассматривали его ранее. Это может быть проблемой.

Следующая страница: Работа с заблокированными файлами и папками