Upotrebljavajući Process Explorer za otklanjanje poteškoća i dijagnosticiranje

2024 Autor: Geoffrey Carr | [email protected]. Zadnja promjena: 2024-01-12 05:23

NAVIGACIJA ŠKOLE

1. Koji su alati SysInternals i kako ih koristite?
2. Razumijevanje procesa Explorer
3. Upotrebljavajući Process Explorer za otklanjanje poteškoća i dijagnosticiranje
4. Razumijevanje procesnog nadzora
5. Korištenje Process Monitor za otklanjanje poteškoća i pronalaženje hackova registra
6. Upotreba autoruna za rješavanje procesa pokretanja i zlonamjernog softvera
7. Korištenje BgInfo-a za prikaz informacija o sustavu na radnoj površini
8. Koristeći PsTools za upravljanje drugim računalima iz Command Line
9. Analiza i upravljanje datotekama, mapama i pogonima
10. Zatvaranje i upotreba alata zajedno

Ne tako davno, počeli smo istraživati sve vrste zlonamjernih programa i crapwarea koji se instaliraju automatski svaki put kad ne obratite pažnju dok instalirate softver. Gotovo svaki besplatni freeware na tržištu, uključujući i "ugledne" one, spajaju alatne trake, traži otmicu strašnosti ili adware, a dio je teško otkloniti.

Vidjeli smo mnoga računala od ljudi da znamo da ima toliko spyware i adware instaliran da računalo jedva čak i učitava više. Pokušaj učitavanja web preglednika, naročito, gotovo je nemoguć, jer se sve adware i softver za praćenje natječu za resurse kako bi ukrali vaše privatne podatke i prodali ih najvišem ponuđaču.

Dakako, htjeli smo malo istražiti kako neki od njih rade, a nema ničeg mjesta za pokretanje od malicioznog softvera Conduit Search koji je zauzeo stotine milijuna računala širom svijeta. Ova neugodna strašnost otima vašu tražilicu u vašem pregledniku, mijenja vašu početnu stranicu i najviše smeta, preuzima vašu novu karticu, bez obzira na koji je vaš preglednik postavljen.

Početi ćemo s tim gledanjem, a zatim ćemo vam pokazati kako koristiti Process Explorer za rješavanje pogrešaka koje govore o zaključanim datotekama i mapama koje se upotrebljavaju.

A onda ćemo je zaokružiti s još jednim pogledom na to kako se neki adware ovih dana skriva iza Microsoftovih procesa kako bi se oni pojavili pravilno u Process Exploreru ili Task Manageru, iako oni zapravo nisu.

Istraživanje zlonamjernog softvera za provođenje

Kao što smo već spomenuli, probojni haker Conduit jedna je od najnaprednijih, groznih i strašnih stvari koje gotovo svaka od vaših rođaka vjerojatno ima na svom računalu. Oni pakiraju softver na sumnjive načine s bilo kojim freewareom koji mogu, au mnogim slučajevima čak i ako odaberete isključivanje, otmičar će i dalje biti instaliran.

Conduit instalira ono što zovu "Search Protect", za koje tvrde da sprječava da zlonamjerni softver izmijeni svoj preglednik. Ono što ne spominju jest to da time i sprječava da unesete izmjene u svom pregledniku, osim ako ne koristite njihovu ploču za pretraživanje Protect da biste izvršili te promjene koje većina ljudi neće znati jer je pokopana u paleti sustava.

Ne samo da će provesti preusmjeravanje svih vaših pretraživanja na vlastitu prilagođenu stranicu Bing, nego će to postaviti kao svoju početnu stranicu. Netko bi trebao pretpostaviti da ih Microsoft isplati za sav promet na Bing, jer oni također prolaze ? Pc = provod vrstu argumenata u nizu upita.

Zabavna činjenica: tvrtka iza ovog smeća vrijedi 1,5 milijardi dolara, a JP Morgan uložio je 100 milijuna dolara u njih. Biti zlo je profitabilan.

Conduit otima novu karticu … Ali kako?

Otkazivanje pretraživanja i početne stranice trivijalan je za bilo kakav zlonamjerni softver - ovdje Conduit podiže zlo i nekako prepisuje stranicu Nova kartica kako bi je prisilila da pokaže Conduit, čak i ako promijenite svaku postavku.

Možete deinstalirati sve svoje preglednike ili čak instalirati preglednik koji još niste instalirali, kao što je Firefox ili Chrome, a Conduit i dalje uspije oteti stranicu nove kartice.

Ovo je mjesto gdje se obratimo Process Exploreru radi nekog istraživanja. Prvo ćemo pronaći popis postupka Search Protect koji je dovoljno jednostavno jer je pravilno nazvan, ali ako niste bili sigurni, uvijek možete otvoriti prozor i upotrijebiti ikonu s ikonama bikova pored stavke dalekozor kako bi shvatio koji proces pripada prozoru.

Sada kada ste odabrali postupak, možete upotrijebiti tipke prečaca CTRL + H ili CTRL + D da biste otvorili prikaz Rukavice ili DLL prikaz ili upotrijebite izbornik Prikaz -> Niži izbornik okvira.

Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.

DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.

Pogled na popis ručica nekoliko minuta donio nam je malo bliže onome što se događalo, jer smo pronašli ručke za Internet Explorer i Chrome, od kojih su oba otvorena na testnom sustavu. Sigurno smo potvrdili da Search Protect radi nešto na našim otvorenim prozorima preglednika, ali morat ćemo napraviti još malo istraživanja kako bismo točno utvrdili što.