A Process Explorer használata a hibaelhárításhoz és a diagnózishoz
Megértése, hogy a Process Explorer párbeszédpaneljei és opciói jól működnek, de mi van a használatával a tényleges hibaelhárításhoz vagy a probléma diagnosztizálásához? A mai Geek Iskola leckéje megpróbálja megtanulni, hogyan kell ezt csinálni.
SCHOOL NAVIGÁCIÓ- Mik a SysInternals eszközök és hogyan használják őket??
- A Process Explorer megértése
- A Process Explorer használata a hibaelhárításhoz és a diagnózishoz
- A Process Monitor megértése
- A Process Monitor használata a rendszerleíró adatbázisok hibaelhárításához és kereséséhez
- Az Autoruns használata az indítási folyamatokkal és a rosszindulatú programokkal
- A BgInfo használata a rendszerinformációk megjelenítése az asztalon
- A PsTools használata más PC-k vezérlésére a parancssorból
- Fájlok, mappák és meghajtók elemzése és kezelése
- Az Eszközök együttes csomagolása és használata
Nem olyan régen elkezdtünk mindenfajta rosszindulatú programot és crapware-t kivizsgálni, amely automatikusan telepítve lesz, amikor nem figyel a szoftver telepítésekor. A piacon szinte minden egyes darab, beleértve a „jó hírű” termékeket is, eszköztárakat köt össze, keresik az eltérítéseket, vagy az adware-t, és néhányat nehéz elhárítani.
Sok számítógépet láttunk olyan emberektől, akikről tudjuk, hogy olyan sok kémprogramot és adware-t telepítettek, amelyet a PC alig tölt be. Különösen a webböngésző betöltése próbálkozni szinte lehetetlen, mivel az összes adware- és nyomkövető szoftver versenyez az erőforrásokért, hogy ellopja a személyes adatait és eladja azt a legmagasabb ajánlattevőnek.
Természetesen azt akartuk, hogy egy kicsit megvizsgáljuk, hogy ezek közül néhány hogyan működik, és nincs jobb hely a kezdetekhez, mint a Conduit Search malware, amely világszerte több száz millió számítógépet követelt. Ez a bosszantó szörnyűség a keresőmotorját a böngészőjében elrontja, megváltoztatja a kezdőlapot, és a leginkább bosszantóan átveszi az új lapot, függetlenül attól, hogy milyen böngészője van.
Kezdjük azzal, hogy megnézzük ezt, majd megmutatjuk, hogyan kell a Process Explorer használatával elhárítani azokat a hibákat, amelyek a használatban lévő zárolt fájlokról és mappákról beszélnek.
Ezután egy másik pillantással megvizsgáljuk, hogy egyes adware-ek miként rejtenek magukat a Microsoft folyamatai mögött, így legitimnek tűnnek a Process Explorer vagy a Task Manager alkalmazásban, még akkor is, ha valóban nem.
A Conduit Search Malware vizsgálata
Amint már említettük, a Conduit kereső-gépeltérítő egyike a legátfogóbb, szörnyűbb és szörnyűbb dolgoknak, melyeket a hozzátartozói majdnem minden számítógépén valószínűleg talál. Szoftverüket árnyalatos módon kötik össze bármely szabadon elérhető eszközzel, és sok esetben még akkor is, ha az opt-out-ot választják, a gépeltérítő még mindig telepítve lesz.
A Conduit telepíti a „Search Protect” nevet, amit állítólag megakadályozza a rosszindulatú programok módosítását a böngészőben. Amit nem említenek, azt is megakadályozza, hogy a böngészőjében bármilyen változtatást hajtson végre, kivéve, ha a keresési védelem panelen használja azokat a módosításokat, amelyeket a legtöbb ember nem tud arról, hogy mióta eltemették a tálcán.
A Conduit nemcsak az összes keresést átirányítja saját egyéni Bing oldalára, hanem azt a kezdőlapként fogja beállítani. Feltételeznünk kell, hogy a Microsoft fizet nekik a Bing-hez kapcsolódó összes forgalomért, mivel azok is elhaladnak ?pc = vezetéken az érvek típusa a lekérdezési karakterláncban.
Szórakoztató tény: a szemét mögötti cég 1,5 milliárd dollárt ér, és a JP Morgan 100 millió dollárt fektetett be hozzájuk. A gonoszság nyereséges.
A Conduit elrontja az új lapot… De hogyan?
A kereső és a kezdőlap megrongálódása triviális minden rosszindulatú program számára - ez az, ahol a Conduit felemeli a gonoszságot, és valahogy újraírja az Új lap oldalt, hogy kényszerítse azt a Conduit megjelenítésére, még akkor is, ha minden egyes beállítást megváltoztat.
Eltávolíthatja az összes böngészőjét, vagy akár olyan böngészőt is telepíthet, amelyet korábban nem telepített, mint például a Firefox vagy a Chrome, és a Conduit továbbra is leküzdi az Új lap oldalt.
Valakinek börtönben kell lennie, de valószínűleg egy jachton vannak.Ez nem sok szempontból a geek készségek, hogy végül arra a következtetésre jut, hogy a probléma a Search Protect alkalmazás fut a rendszer tálcán. Öld meg ezt a folyamatot, és hirtelen az új lapok csak úgy nyílnak meg, ahogyan a böngésző készítette.
De hogy pontosan mit csinál ez? A böngészők egyikébe sem telepítettek bővítmények vagy bővítmények. Nincsenek bővítmények. A rendszerleíró adatbázis tiszta. Hogyan csinálják?
Itt fordulunk a Process Explorer-hez, hogy vizsgálatot végezzünk. Először a listában megtaláljuk a Search Protect folyamatot, amely elég könnyű, mert helyesen nevezték el, de ha nem biztos benne, mindig megnyithatja az ablakot, és használhatja a kis bika szem ikonját a távcső, hogy kitaláljuk, melyik folyamat tartozik egy ablakhoz.
Most egyszerűen kiválaszthatja a megfelelő folyamatot, amely ebben az esetben az egyik, amely a Conduit telepítő Windows-szolgáltatása automatikusan fut. Honnan tudtam, hogy ez egy Windows-szolgáltatás, amely újraindítja? Mert a sor színe természetesen rózsaszín. Ezzel a tudással felfegyverkezve mindig leállíthatom vagy törölhetem a szolgáltatást (bár ebben az esetben egyszerűen eltávolíthatod a Vezérlőpult Programok eltávolítása után).
Most, hogy kiválasztotta a folyamatot, a CTRL + H vagy a CTRL + D gyorsbillentyűk segítségével nyithatja meg a fogantyú nézetet vagy a DLL nézetet, vagy használhatja a Nézet -> Alsó panel nézet menüt..
Jegyzet: a Windows világában a „fogantyú” egy egész érték, amelyet arra használnak, hogy egyedülállóan azonosítsák a memóriában lévő erőforrást, mint egy ablakot, egy nyitott fájlt, egy folyamatot vagy sok más dolgot. A számítógép minden egyes megnyitott alkalmazásablakában egy egyedülálló „ablakkezelő” található, amely segítségével hivatkozhatunk rá.
A DLL-ek vagy a dinamikus linkkönyvtárak a fordított kód megosztott darabjai, amelyeket külön fájlban tárolnak, és amelyeket több alkalmazás között megoszthatnak. Például ahelyett, hogy minden alkalmazás saját fájl megnyitása / mentése párbeszédablakot írna, minden alkalmazás egyszerűen használhatja a Windows által a comdlg32.dll fájlban megadott közös párbeszédkódot.
Néhány percre átnézve a fogantyúk listáját, egy kicsit közelebb kerültünk ahhoz, ami folyik, mert találtuk az Internet Explorer és a Chrome kezelőszerveit, amelyek mindkettő jelenleg nyitva van a tesztrendszeren. Nyilvánvalóan megerősítettük, hogy a Search Protect valamit tesz a nyílt böngészőablakainkhoz, de egy kicsit több kutatást kell tennünk, hogy kitaláljuk, hogy pontosan mit.
A következő dolog az, hogy kattintson duplán a listán lévő folyamatra a részletek nézet megnyitásához, majd lapozzon a Kép fülre, amely tájékoztatást ad a végrehajtható fájl teljes elérési útjáról, a parancssorból és még a munkakönyvtár. A Explore gombra kattintva megnézhetjük a telepítési mappát, és megnézhetjük, mi mást rejtőzik ott.
Érdekes! Számos DLL-fájlt találtunk itt, de valami furcsa oknál fogva ezek a DLL-fájlok egyike sem szerepel a DLL-nézetben a Search Protect folyamatban, amikor korábban megnéztük. Ez problémát jelenthet.
Következő oldal: Zárt fájlok és mappák kezelése