Käytä Process Explorer -ohjelmaa vianmääritykseen ja diagnoosiin

2024 Kirjoittaja: Geoffrey Carr | [email protected]. Viimeksi muokattu: 2024-01-12 05:20

Koulun navigointi

1. Mitkä ovat SysInternals-työkalut ja miten käytät niitä?
2. Ymmärrys prosessi Explorer
3. Käytä Process Explorer -ohjelmaa vianmääritykseen ja diagnoosiin
4. Prosessinvalvonnan ymmärtäminen
5. Process Monitor -ohjelman avulla vianmääritys ja rekisterikirjojen etsiminen
6. Automaattien käyttäminen käynnistysprosessien ja haittaohjelmien käsittelyyn
7. BgInfo: n avulla voit tarkastella järjestelmätietojen tietoja työpöydällä
8. PsToolsin käyttäminen muiden tietokoneiden hallintaan komentoriviltä
9. Tiedostojen, kansioiden ja asemien analysointi ja hallinta
10. Päällystäminen ja työkalujen käyttäminen yhdessä

Ei niin kauan sitten, aloimme tutkia kaikenlaisia haittaohjelmia ja krapareja, jotka asennetaan automaattisesti, kun et kiinnitä huomiota ohjelmiston asennuksen aikana. Lähes jokainen markkinoiden freeware, mukaan lukien "hyvämaineiset", ovat niputtamalla työkalupalkkeja, etsimällä kaappausta kauheudesta tai mainosohjelmista ja osa niistä on vaikea vianmääritys.

Olemme nähneet monia tietokoneita ihmisiltä, että tiedämme, että niillä on niin paljon vakoiluohjelmia ja mainosohjelmia, että tietokone tuskin kuormaa enää. Yritä ladata verkkoselain erityisesti, on lähes mahdotonta, sillä kaikki mainos- ja seurantaohjelmistot kilpailee resursseista varastamaan yksityisiä tietoja ja myymään ne korkeimmalle tarjoajalle.

Joten luonnollisesti halusimme tehdä hieman tutkimusta siitä, miten osa näistä toimii, eikä ole olemassa parempaa paikkaa kuin Conduit Search haittaohjelma, joka on vaatinut satoja miljoonia tietokoneita maailmanlaajuisesti. Tämä kauhea kauheus kaappaa hakukoneesi selaimellasi, muuttaa kotisivusi ja ärsyttävää, se ottaa uuden välilehden sivulta riippumatta, mihin selaimesi on asetettu.

Aloitamme tarkastelemalla sitä ja sitten näytämme, kuinka voit käyttää prosessinsyöttöä vianmääritykseen virheistä, jotka puhuvat käytössä olevista lukituista tiedostoista ja kansioista.

Ja sitten kierrämme sen toisen tarkastelun kanssa, miten jotkut mainosohjelmat piiloutuvat Microsoftin prosessien takia, jotta ne näyttäisivät oikein Process Explorer tai Task Manager, vaikka ne eivät todellisuudessa ole.

Haittaohjelmien haittaohjelmien tutkiminen

Kuten mainitsimme, Conduit-haun kaappaaja on yksi pysyimmistä, kauhistuttavista ja kauheista asioista, joista lähes jokaisella sukulaisillasi on luultavasti tietokoneella. He niputtavat ohjelmistonsa varjoisasti kaikilla freeware-ohjelmilla, ja monissa tapauksissa, vaikka valitsisit opt-outin, kaappaaja asennetaan edelleen.

Conduit asentaa sen, mitä he kutsuvat nimellä "Search Protect", jota he väittävät estävän haittaohjelmia muuttamasta selaimeesi. Mitä he eivät mainitse, se estää sinua myös tekemästä muutoksia selaimellasi, ellet käytä Search Protect -paneelia tekemällä muutoksia, joita useimmat ihmiset eivät tiedä, koska se on hautattu järjestelmäalustalle.

Conduit ei vain ohjaa kaikkia hakuja omalle mukautetulle Bing-sivullesi, vaan asettaa sen kotisivuksi. Yksi joutuisi olettamaan, että Microsoft maksaa heille kaiken tämän liikenteen Bingille, koska he kulkevat myös jonkin verran ? Pc = putken argumenttien tyyppi kyselyjonoissa.

Hauska tosiasia: tämän roskien takana oleva yritys on 1,5 miljardin dollarin arvoinen ja JP Morgan sijoitti niihin 100 miljoonaa dollaria. Pahan on kannattavaa.

Conduit kaappaa uuden välilehden sivun … Mutta miten?

Hakun ja kotisivun kaappaaminen on vähäpätöistä haittaohjelmille - tämä on silloin, kun Conduit korottaa pahan ja jotenkin kirjoittaa uuden välilehden sivulle, jotta se pakottaisi näyttämään Conduitin, vaikka muutatkin yksittäisiä asetuksia.

Voit poistaa kaikki selaimesi asennuksen tai jopa asentaa selaimen, jota et ole asentanut ennen, kuten Firefox tai Chrome, ja Conduit edelleen hallinnoi uuden välilehden sivun.

Tällöin käsittelemme Process Explorer -ohjelmaa tekemään jonkin verran tutkimusta. Ensinnäkin löydämme luettelon Search Protect -prosessista, joka on tarpeeksi helppoa, koska se on nimetty oikein, mutta jos et olisikaan varma, voit aina avata ikkunan ja käyttää pienen sonnien silmäkuvaketta Kiikarit selvittää, mikä prosessi kuuluu ikkunaan.

Nyt kun olet valinnut prosessin, voit käyttää CTRL + H- tai CTRL + D-pikavalintanäppäimiä avataksesi kädensijat -näkymän tai DLL-näkymän tai voit käyttää näkymää -> Alalaippa-näkymää.

Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.

DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.

Kaukaloiden luetteloiden tarkasteleminen muutaman minuutin ajan toi meidät hieman lähemmäksi tapahtumia, koska löydimme kahvat Internet Explorerille ja Chromelle, jotka molemmat ovat tällä hetkellä avoinna testijärjestelmässä. Olemme varmasti vahvistaneet, että Search Protect tekee jotain avoimille selainikkunoillemme, mutta meidän on tehtävä hieman enemmän tutkimusta selvittääksemme tarkalleen, mitä.