Process Explorerin käyttäminen vianmääritykseen ja diagnosointiin
Ymmärtääksemme, miten Process Explorerin valintaikkunat ja -vaihtoehdot toimivat, on hyvä ja hyvä, mutta entä sen käyttäminen todelliseen vianmääritykseen tai ongelman diagnosointiin? Nykypäivän Geek-koulun oppitunti yrittää auttaa sinua oppimaan, miten tämä tehdään.
KOULUN NAVIGOINTI- Mitkä ovat SysInternals-työkalut ja miten niitä käytetään?
- Process Explorerin ymmärtäminen
- Process Explorerin käyttäminen vianmääritykseen ja diagnosointiin
- Prosessimonitorin ymmärtäminen
- Prosessimonitorin käyttäminen vianmääritykseen ja rekisterihakujen löytämiseen
- Käyttämällä Autorunsia käsitellä käynnistysprosesseja ja haittaohjelmia
- BgInfo-sovelluksen käyttäminen järjestelmän tietojen näyttämiseen työpöydällä
- PsTools-ohjelman käyttäminen muiden tietokoneiden ohjaamiseen komentoriviltä
- Tiedostojen, kansioiden ja asemien analysointi ja hallinta
- Työkalujen pakkaaminen ja käyttö yhdessä
Ei niin kauan sitten, aloimme tutkia kaikenlaisia haittaohjelmia ja crapware-ohjelmia, jotka asennetaan automaattisesti milloin tahansa, kun et kiinnitä huomiota ohjelmiston asennuksessa. Lähes jokainen markkinoilla oleva freeware-osa, mukaan lukien ”hyvämaineiset”, yhdistää työkalurivejä, etsii kaappaa kauhistuttavuudesta tai mainosohjelmista, ja jotkut niistä ovat vaikeasti vianmääritys.
Olemme nähneet monia tietokoneita ihmisiltä, jotka tiedämme, että niissä on niin paljon vakoiluohjelmia ja mainosohjelmia, että tietokone on tuskin jopa kuormitettu. Erityisesti verkkoselaimen lataaminen on lähes mahdotonta, koska kaikki mainos- ja seurantaohjelmat kilpailevat resurssien varalta, jotta varastetaan yksityiset tiedot ja myydään ne korkeimmalle tarjoajalle.
Luonnollisesti halusimme tehdä hieman tutkimusta siitä, miten jotkut näistä töistä, eikä ole parempaa paikkaa aloittaa kuin Conduit Search haittaohjelma, joka on vaatinut satoja miljoonia tietokoneita maailmanlaajuisesti. Tämä hirveä kauhistuttavuus etsii hakukoneesi selaimessasi, muuttaa kotisivusi ja ärsyttävällä tavalla, se vie uuden välilehden sivun riippumatta selaimesi asetuksesta.
Aloitamme tarkastelemalla sitä, ja sitten näytämme, miten käytät Process Exploreria vianmäärityksessä, joka puhuu käytössä olevista lukituista tiedostoista ja kansioista.
Ja sitten me selvitämme sen toisella katsomalla, miten jotkut mainosohjelmat näinä päivinä piiloutuvat Microsoftin prosessien takana, joten ne näkyvät oikeutetusti Process Explorerissa tai Task Managerissa, vaikka he eivät todellakaan ole.
Conduit-haun haittaohjelman tutkiminen
Kuten mainitsimme, Conduit-haku-kaappaaja on yksi pysyvimmistä, kauhistuttavimmista ja kauhistuttavimmista asioista, joita lähes jokaisella sukulaisellasi on todennäköisesti tietokoneessa. He niputtavat ohjelmistonsa varjoisilla tavoilla millä tahansa freeware-ohjelmalla, ja monissa tapauksissa, vaikka valitsisit opt-out-vaihtoehdon, kaappaaja on edelleen asennettu.
Conduit asentaa "Search Protect" -toiminnon, jota he väittävät estää haittaohjelmia tekemästä muutoksia selaimeesi. Mitä he eivät mainitse, on se, että se myös estää sinua tekemästä muutoksia selaimeen, ellet käytä hakusuojapaneelin avulla näitä muutoksia, joita useimmat ihmiset eivät tiedä, koska se on haudattu järjestelmälokeroon.
Conduit ei ainoastaan ohjaa kaikkia hakuja omaan Bing-sivuunsa, vaan asettaa sen kotisivuksi. On syytä olettaa, että Microsoft maksaa heille kaiken tämän liikenteen Bingiin, koska ne kulkevat myös jonkin verran ?pc = putken argumenttityyppi kyselyjonossa.
Hauska tosiasia: tämän roskakorin takana oleva yritys on arvoltaan 1,5 miljardia dollaria ja JP Morgan investoi niihin 100 miljoonaa dollaria. Pahoittaminen on kannattavaa.
Conduit kaappaa uuden välilehden sivun… Mutta miten?
Haku- ja etusivullesi kaappaaminen on triviaalia jokaiselle haittaohjelmalle - tämä on silloin, kun Conduit tehostaa pahaa ja kirjoittaa jotenkin uuden välilehden sivun pakottaakseen sen näyttämään Conduitin, vaikka muuttaisitte jokaista asetusta.
Voit poistaa kaikki selaimesi tai jopa asentaa selaimen, jota et ole aiemmin asentanut, kuten Firefox tai Chrome, ja Conduit pystyy yhä kaappaamaan uuden välilehden sivun.
Joku pitäisi olla vankilassa, mutta he ovat luultavasti purjeissa.Se ei kestä kovinkaan paljon geektaitoja, jotta lopulta päädytään siihen, että ongelma on hakupalvelusovellus, joka toimii järjestelmälokerossa. Tappaa tämä prosessi, ja yhtäkkiä uudet välilehdet avautuvat juuri niin kuin selaimen valmistaja on suunnitellut.
Mutta miten se oikein tapahtuu? Mitään selaimista ei ole asennettu lisäosia tai laajennuksia. Lisäosia ei ole. Rekisteri on puhdas. Kuinka he tekevät sen?
Täällä siirrymme Process Exploreriin tutkimaan jotakin. Ensinnäkin löydät luettelosta hakusuojausprosessin, joka on tarpeeksi helppoa, koska se ei ole varma, mutta jos et ole varma, voit aina avata ikkunan ja käyttää pientä silmä-kuvaketta sen vieressä. kiikarit selvittää, mikä prosessi kuuluu ikkunaan.
Nyt voit yksinkertaisesti valita sopivan prosessin, joka tässä tapauksessa oli yksi kolmesta, jota Conduitin asentama Windows-palvelu toimii automaattisesti. Mistä tiedän, että se oli Windows-palvelu, joka käynnistää sen uudelleen? Koska rivin väri on tietysti vaaleanpunainen. Kun tämä tieto on aseistettu, voisin aina mennä pysäyttämään tai poistamaan palvelun (vaikka tässä nimenomaisessa tapauksessa voit poistaa asennuksen Ohjauspaneelin Ohjelmien poisto-ohjelmista).
Nyt kun olet valinnut prosessin, voit avata kahvat -näkymän tai DLL-näkymän käyttämällä CTRL + H- tai CTRL + D-pikavalintanäppäimiä, tai voit käyttää sitä View -> Lower Pane View -valikon avulla..
Huomautus: Windowsin maailmassa “kahva” on kokonaisluku, jota käytetään yksilöimään muistissa oleva resurssi kuten ikkuna, avoin tiedosto, prosessi tai monia muita asioita. Jokaisessa tietokoneesi avoimessa sovellusikkunassa on ainutlaatuinen “ikkunakahva”, jota voidaan käyttää sen viittaamiseen.
DLL-tiedostot tai dynaamiset linkkikirjastot ovat koottua koodia, jotka tallennetaan erilliseen tiedostoon jaettaviksi useiden sovellusten kesken. Esimerkiksi sen sijaan, että jokainen sovellus kirjoittaisi omia File Open / Save -valintaikkunoita, kaikki sovellukset voivat yksinkertaisesti käyttää yhteistä valintaikkunakoodia, jonka Windows tarjoaa comdlg32.dll-tiedostossa.
Kahden listan tarkasteleminen muutaman minuutin ajan toi meidät hieman lähemmäksi sitä, mikä oli käynnissä, koska löysimme Internet Explorerin ja Chromeen kädensijat, jotka molemmat ovat avoinna testijärjestelmässä. Olemme varmasti vahvistaneet, että Search Protect tekee jotain avointen selainikkunoiden kanssa, mutta meidän on tehtävä hieman enemmän tutkimusta selvittääksemme, mitä.
Seuraava asia on kaksoisnapsauttaa luettelossa olevaa prosessia avataksesi yksityiskohtien näkymän ja kääntämällä sitten Kuva-välilehdelle, joka antaa sinulle tietoja suoritettavan tiedoston, komentorivin ja jopa työkansio. Klikkaamme Explore-painiketta, kun haluat tarkastella asennuskansiota ja nähdä, mitä muuta siellä piilotetaan.
Mielenkiintoista! Olemme löytäneet useita DLL-tiedostoja täällä, mutta jotakin outoa syytä mikään näistä DLL-tiedostoista ei löytynyt DLL-näkymästä Search Protect -prosessille, kun katsot sitä aiemmin. Tämä voi olla ongelma.
Seuraava sivu: Lukittujen tiedostojen ja kansioiden käsittely