Homepage » iskola » A Process Explorer használata a hibaelhárításhoz és a diagnózishoz

    A Process Explorer használata a hibaelhárításhoz és a diagnózishoz

    Megértése, hogy a Process Explorer párbeszédpaneljei és opciói jól működnek, de mi van a használatával a tényleges hibaelhárításhoz vagy a probléma diagnosztizálásához? A mai Geek Iskola leckéje megpróbálja megtanulni, hogyan kell ezt csinálni.

    SCHOOL NAVIGÁCIÓ
    1. Mik a SysInternals eszközök és hogyan használják őket??
    2. A Process Explorer megértése
    3. A Process Explorer használata a hibaelhárításhoz és a diagnózishoz
    4. A Process Monitor megértése
    5. A Process Monitor használata a rendszerleíró adatbázisok hibaelhárításához és kereséséhez
    6. Az Autoruns használata az indítási folyamatokkal és a rosszindulatú programokkal
    7. A BgInfo használata a rendszerinformációk megjelenítése az asztalon
    8. A PsTools használata más PC-k vezérlésére a parancssorból
    9. Fájlok, mappák és meghajtók elemzése és kezelése
    10. Az Eszközök együttes csomagolása és használata

    Nem olyan régen elkezdtünk mindenfajta rosszindulatú programot és crapware-t kivizsgálni, amely automatikusan telepítve lesz, amikor nem figyel a szoftver telepítésekor. A piacon szinte minden egyes darab, beleértve a „jó hírű” termékeket is, eszköztárakat köt össze, keresik az eltérítéseket, vagy az adware-t, és néhányat nehéz elhárítani.

    Sok számítógépet láttunk olyan emberektől, akikről tudjuk, hogy olyan sok kémprogramot és adware-t telepítettek, amelyet a PC alig tölt be. Különösen a webböngésző betöltése próbálkozni szinte lehetetlen, mivel az összes adware- és nyomkövető szoftver versenyez az erőforrásokért, hogy ellopja a személyes adatait és eladja azt a legmagasabb ajánlattevőnek.

    Természetesen azt akartuk, hogy egy kicsit megvizsgáljuk, hogy ezek közül néhány hogyan működik, és nincs jobb hely a kezdetekhez, mint a Conduit Search malware, amely világszerte több száz millió számítógépet követelt. Ez a bosszantó szörnyűség a keresőmotorját a böngészőjében elrontja, megváltoztatja a kezdőlapot, és a leginkább bosszantóan átveszi az új lapot, függetlenül attól, hogy milyen böngészője van.

    Kezdjük azzal, hogy megnézzük ezt, majd megmutatjuk, hogyan kell a Process Explorer használatával elhárítani azokat a hibákat, amelyek a használatban lévő zárolt fájlokról és mappákról beszélnek.

    Ezután egy másik pillantással megvizsgáljuk, hogy egyes adware-ek miként rejtenek magukat a Microsoft folyamatai mögött, így legitimnek tűnnek a Process Explorer vagy a Task Manager alkalmazásban, még akkor is, ha valóban nem.

    A Conduit Search Malware vizsgálata

    Amint már említettük, a Conduit kereső-gépeltérítő egyike a legátfogóbb, szörnyűbb és szörnyűbb dolgoknak, melyeket a hozzátartozói majdnem minden számítógépén valószínűleg talál. Szoftverüket árnyalatos módon kötik össze bármely szabadon elérhető eszközzel, és sok esetben még akkor is, ha az opt-out-ot választják, a gépeltérítő még mindig telepítve lesz.

    A Conduit telepíti a „Search Protect” nevet, amit állítólag megakadályozza a rosszindulatú programok módosítását a böngészőben. Amit nem említenek, azt is megakadályozza, hogy a böngészőjében bármilyen változtatást hajtson végre, kivéve, ha a keresési védelem panelen használja azokat a módosításokat, amelyeket a legtöbb ember nem tud arról, hogy mióta eltemették a tálcán.

    A Conduit nemcsak az összes keresést átirányítja saját egyéni Bing oldalára, hanem azt a kezdőlapként fogja beállítani. Feltételeznünk kell, hogy a Microsoft fizet nekik a Bing-hez kapcsolódó összes forgalomért, mivel azok is elhaladnak ?pc = vezetéken az érvek típusa a lekérdezési karakterláncban.

    Szórakoztató tény: a szemét mögötti cég 1,5 milliárd dollárt ér, és a JP Morgan 100 millió dollárt fektetett be hozzájuk. A gonoszság nyereséges.

    A Conduit elrontja az új lapot… De hogyan?

    A kereső és a kezdőlap megrongálódása triviális minden rosszindulatú program számára - ez az, ahol a Conduit felemeli a gonoszságot, és valahogy újraírja az Új lap oldalt, hogy kényszerítse azt a Conduit megjelenítésére, még akkor is, ha minden egyes beállítást megváltoztat.

    Eltávolíthatja az összes böngészőjét, vagy akár olyan böngészőt is telepíthet, amelyet korábban nem telepített, mint például a Firefox vagy a Chrome, és a Conduit továbbra is leküzdi az Új lap oldalt.

    Valakinek börtönben kell lennie, de valószínűleg egy jachton vannak.

    Ez nem sok szempontból a geek készségek, hogy végül arra a következtetésre jut, hogy a probléma a Search Protect alkalmazás fut a rendszer tálcán. Öld meg ezt a folyamatot, és hirtelen az új lapok csak úgy nyílnak meg, ahogyan a böngésző készítette.

    De hogy pontosan mit csinál ez? A böngészők egyikébe sem telepítettek bővítmények vagy bővítmények. Nincsenek bővítmények. A rendszerleíró adatbázis tiszta. Hogyan csinálják?

    Itt fordulunk a Process Explorer-hez, hogy vizsgálatot végezzünk. Először a listában megtaláljuk a Search Protect folyamatot, amely elég könnyű, mert helyesen nevezték el, de ha nem biztos benne, mindig megnyithatja az ablakot, és használhatja a kis bika szem ikonját a távcső, hogy kitaláljuk, melyik folyamat tartozik egy ablakhoz.

    Most egyszerűen kiválaszthatja a megfelelő folyamatot, amely ebben az esetben az egyik, amely a Conduit telepítő Windows-szolgáltatása automatikusan fut. Honnan tudtam, hogy ez egy Windows-szolgáltatás, amely újraindítja? Mert a sor színe természetesen rózsaszín. Ezzel a tudással felfegyverkezve mindig leállíthatom vagy törölhetem a szolgáltatást (bár ebben az esetben egyszerűen eltávolíthatod a Vezérlőpult Programok eltávolítása után).

    Most, hogy kiválasztotta a folyamatot, a CTRL + H vagy a CTRL + D gyorsbillentyűk segítségével nyithatja meg a fogantyú nézetet vagy a DLL nézetet, vagy használhatja a Nézet -> Alsó panel nézet menüt..

    Jegyzet: a Windows világában a „fogantyú” egy egész érték, amelyet arra használnak, hogy egyedülállóan azonosítsák a memóriában lévő erőforrást, mint egy ablakot, egy nyitott fájlt, egy folyamatot vagy sok más dolgot. A számítógép minden egyes megnyitott alkalmazásablakában egy egyedülálló „ablakkezelő” található, amely segítségével hivatkozhatunk rá.

    A DLL-ek vagy a dinamikus linkkönyvtárak a fordított kód megosztott darabjai, amelyeket külön fájlban tárolnak, és amelyeket több alkalmazás között megoszthatnak. Például ahelyett, hogy minden alkalmazás saját fájl megnyitása / mentése párbeszédablakot írna, minden alkalmazás egyszerűen használhatja a Windows által a comdlg32.dll fájlban megadott közös párbeszédkódot.

    Néhány percre átnézve a fogantyúk listáját, egy kicsit közelebb kerültünk ahhoz, ami folyik, mert találtuk az Internet Explorer és a Chrome kezelőszerveit, amelyek mindkettő jelenleg nyitva van a tesztrendszeren. Nyilvánvalóan megerősítettük, hogy a Search Protect valamit tesz a nyílt böngészőablakainkhoz, de egy kicsit több kutatást kell tennünk, hogy kitaláljuk, hogy pontosan mit.

    A következő dolog az, hogy kattintson duplán a listán lévő folyamatra a részletek nézet megnyitásához, majd lapozzon a Kép fülre, amely tájékoztatást ad a végrehajtható fájl teljes elérési útjáról, a parancssorból és még a munkakönyvtár. A Explore gombra kattintva megnézhetjük a telepítési mappát, és megnézhetjük, mi mást rejtőzik ott.

    Érdekes! Számos DLL-fájlt találtunk itt, de valami furcsa oknál fogva ezek a DLL-fájlok egyike sem szerepel a DLL-nézetben a Search Protect folyamatban, amikor korábban megnéztük. Ez problémát jelenthet.

    Következő oldal: Zárt fájlok és mappák kezelése

    Program kompatibilitási mód használata a Windows 7 rendszerben
    A PsTools használata más PC-k vezérlésére a parancssorból
    Pandora használata Boxee-ben
    Következő cikk
    A Process Monitor használata a rendszerleíró adatbázisok hibaelhárításához és kereséséhez
    Korábbi cikk
    Jelszó-kifejezések használata a jobb biztonság érdekében