Використання Process Explorer для усунення неполадок та діагностики

Розуміння того, як працюють діалогові вікна та параметри Process Explorer, це добре і добре, але як щодо використання цього методу для вирішення певних проблем або для діагностики проблеми? Сьогоднішній урок школярів Geek буде намагатися допомогти вам навчитися робити саме це.

ШКОЛА НАВІГАЦІЇ

1. Які інструменти SysInternals і як ви їх використовуєте?
2. Розуміння процесу Explorer
3. Використання Process Explorer для усунення неполадок та діагностики
4. Розуміння процесу моніторингу
5. Використання процесу моніторингу для усунення неполадок і знайти реєстр хакі
6. Використання Autoruns для роботи з запуску процесів і шкідливих програм
7. Використання BgInfo для відображення системної інформації на робочому столі
8. Використання PsTools для управління іншими комп'ютерами з командного рядка
9. Аналіз і керування файлами, папками та дисками
10. Загортання та використання інструментів разом

Не так давно ми почали досліджувати всі види шкідливих програм та програмного забезпечення, які встановлюються автоматично в будь-який час, коли ви не звертаєте уваги під час встановлення програмного забезпечення. Майже кожна безкоштовна програма на ринку, включаючи «авторитетні», поєднують панелі інструментів, шукають захоплення або рекламу, а деякі з них важко усунути.

Ми бачили багато комп'ютерів від людей, яких ми знаємо, що встановлено стільки програм-шпигунів і рекламного ПЗ, що ПК майже не навантажує. Намагання завантажувати веб-переглядач, особливо, практично неможливо, оскільки все програмне забезпечення для реклами та відстеження конкурує за ресурси, щоб викрасти вашу особисту інформацію та продати її найвищому покупцеві.

Отже, природно, ми хотіли зробити трохи розслідування того, як деякі з них працюють, і немає кращого місця для початку, ніж зловмисне програмне забезпечення Conduit Search, яке вимагало сотні мільйонів комп'ютерів у всьому світі. Ця непристойна жахливість захоплює вашу пошукову систему у вашому веб-переглядачі, змінює вашу домашню сторінку та, найчастіше, дратує, переходить на сторінку нової вкладки незалежно від налаштувань вашого веб-переглядача.

Ми почнемо з цього, а потім покажемо, як використовувати Process Explorer для усунення помилок, які говорять про заблоковані файли та папки, які використовуються.

А потім ми розберемося з іншим поглядом на те, як деякі рекламні програми сьогодні приховуються за процесами Microsoft, тому вони виявляються законними в Process Explorer або Task Manager, навіть якщо вони насправді не є.

Дослідження зловмисних програм Conduit Search

Як ми вже згадували, викрадач пошуку Conduit - це одне з найстійкіших, жахливих і страшних речей, які майже кожен з ваших родичів, мабуть, має на своєму комп'ютері. Вони поєднують своє програмне забезпечення тіньовим способом з будь-якими безкоштовними програмами, які вони можуть, і в багатьох випадках, навіть якщо ви вирішите відмовитися, викрадач все одно буде встановлено.

Conduit встановлює те, що вони називають "Search Protect", що, на їхню думку, запобігає внесенню змін до вашого браузера. Вони не згадують про те, що він також забороняє вносити будь-які зміни до свого веб-переглядача, якщо ви не використовуєте їхню панель "Захист від пошуку" для внесення цих змін, про які більшість людей не дізнаються, оскільки вона похована в системному лотку.

Conduit не тільки перенаправлятиме всі ваші пошукові запити на свою власну сторінку Bing, але й встановлюватиме це як домашню сторінку. Можна було б припустити, що Microsoft платить їм за весь цей трафік до Bing, оскільки вони також передають деякі ?pc = трубопровід тип аргументів у рядку запиту.

Цікавий факт: компанія за цим сміттям коштує 1,5 мільярда доларів, а JP Morgan вклав у них 100 мільйонів доларів. Бути злом вигідно.

Conduit Hijacks сторінка нової вкладки… Але як?

Захоплення вашої пошукової та домашньої сторінки тривіальне для будь-якої шкідливої ​​програми - саме тут Conduit збільшує зло і певним чином переписує сторінку "Нова вкладка", щоб примусити його показувати Conduit, навіть якщо ви змінюєте кожне налаштування.

Ви можете видалити всі свої веб-переглядачі або навіть встановити веб-переглядач, який раніше не встановлювався, наприклад, Firefox або Chrome, а Conduit все одно вдасться захопити сторінку нової вкладки.

Хтось повинен бути у в'язниці, але вони, мабуть, на яхті.

Це не займе багато чого з точки зору навичок навичок, щоб врешті-решт вивести, що проблема полягає в тому, що програма захисту захисту працює в системному треї. Убийте цей процес, і раптово ваші нові вкладки відкриваються саме так, як призначений виробник браузера.

Але як саме це робити? У жодній з веб-переглядачів не встановлено додаткових компонентів або розширень. Немає ніяких плагінів. Реєстр чистий. Як вони це роблять?

Це те, де ми звертаємося до Process Explorer, щоб зробити деякі дослідження. По-перше, ми знайдемо в списку процес "Захист від пошуку", який досить простий, оскільки він правильно названий, але якщо ви не були впевнені, ви завжди можете відкрити вікно і використовувати піктограму "маленькі очі" поруч із бінокль, щоб з'ясувати, який процес належить вікну.

Тепер ви можете просто вибрати відповідний процес, який в даному випадку був одним з трьох, що автоматично запускається службою Windows, яку встановлює Conduit. Як я дізнався, що служба Windows перезапускає її? Тому що колір цього ряду є рожевим, звичайно. Озброївшись цими знаннями, я завжди міг би зупинити або видалити службу (хоча в цьому випадку ви можете просто видалити з програми видалення на панелі керування).

Тепер, коли ви вибрали цей процес, можна скористатися клавішами CTRL + H або CTRL + D, щоб відкрити вигляд "Ручки" або перегляд DLL, або ж скористатися меню "Перегляд -> Нижній перегляд панелі"..

Примітка: у світі Windows, "ручка" - це ціле значення, яке використовується для однозначної ідентифікації ресурсу в пам'яті, як вікно, відкритий файл, процес або багато іншого. Кожне відкрите вікно програми на вашому комп'ютері має унікальну «ручку вікна», наприклад, яку можна використовувати для посилання на нього.

DLL-файли або бібліотеки динамічних зв'язків - це спільні частини скомпільованого коду, які зберігаються в окремому файлі для спільного використання між багатьма програмами. Наприклад, замість того, щоб кожна програма писала свої власні діалоги відкриття файлів / збереження, всі програми можуть просто використовувати загальний код діалогу, наданий Windows у файлі comdlg32.dll..

Переглядаючи список ручок протягом декількох хвилин, ми трохи наблизилися до того, що відбувається, тому що ми виявили ручки для Internet Explorer і Chrome, які в даний час відкриті на тестовій системі. Ми, безумовно, підтвердили, що Search Protect робить щось із нашими відкритими вікнами веб-переглядача, але нам потрібно зробити ще трохи досліджень, щоб з'ясувати, що саме.

Наступне, що потрібно зробити - це двічі клацнути процес у списку, щоб відкрити вікно деталізації, а потім перейдіть на вкладку Зображення, яка надасть вам інформацію про повний шлях до виконуваного файлу, командного рядка і навіть робоча папка. Ми натиснемо кнопку "Дослідити", щоб подивитися на інсталяційну папку і подивитися, що ще ховається там.

Цікаво! Ми знайшли тут декілька DLL-файлів, але з якихось дивних причин жоден з цих DLL-файлів не перелічувався у вікні DLL для процесу пошуку захисту, коли ми розглядали це раніше. Це може бути проблемою.

Наступна сторінка: Обробка заблокованих файлів і папок