Úvodná » školské » Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovanie

    Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovanie

    Pochopenie toho, ako fungujú dialógové okná a možnosti aplikácie Process Explorer, je dobré a dobré, ale čo sa týka použitia pre niektoré skutočné riešenia problémov alebo pre diagnostiku problému? Dnešná lekcia Geek School sa bude snažiť a pomôže vám naučiť sa, ako to urobiť práve tak.

    ŠKOLSKÁ NAVIGÁCIA
    1. Aké sú nástroje SysInternals a ako ich používate??
    2. Pochopenie Process Explorer
    3. Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovanie
    4. Porozumenie procesu sledovania
    5. Používanie monitora procesov na riešenie problémov a vyhľadanie hackov v registri
    6. Použitie autorunov na riešenie spúšťacích procesov a malware
    7. Použitie programu BgInfo na zobrazenie informácií o systéme na ploche
    8. Použitie programu PsTools na ovládanie iných počítačov z príkazového riadku
    9. Analýza a správa súborov, priečinkov a diskov
    10. Zalomenie a spoločné používanie nástrojov

    Nie tak dávno sme začali vyšetrovať všetky druhy škodlivého softvéru a crapware, ktoré sa nainštalujú automaticky, kedykoľvek počas inštalácie softvéru nevenujete pozornosť. Takmer každý kus freeware na trhu, vrátane "renomovaných", spájajú panely s nástrojmi, vyhľadávajú únosy alebo adware a niektoré z nich je ťažké riešiť.

    Videli sme veľa počítačov od ľudí, o ktorých vieme, že majú toľko spywaru a adware nainštalovaných, že PC sa sotva načíta. Pokúšať sa načítať webový prehliadač, najmä, je takmer nemožné, pretože celý adware a sledovací softvér súťažia o zdroje na ukradnutie vašich súkromných informácií a predať ich najvyššiemu záujemcovi.

    Takže sme prirodzene chceli urobiť trochu vyšetrovania toho, ako niektoré z nich fungujú, a nie je lepšie miesto na začatie než malware Conduit Search, ktorý si vyžiadal stovky miliónov počítačov po celom svete. Táto hanebná strašnosť vášho vyhľadávacieho nástroja zablokuje vo vašom prehliadači, zmení vašu domovskú stránku a najviac nepríjemne prevezme vašu stránku Nová karta bez ohľadu na to, aký je váš prehliadač nastavený na.

    Začneme sa na to pozrieť a potom vám ukážeme, ako používať aplikáciu Process Explorer na riešenie chýb, ktoré sa týkajú uzamknutých súborov a priečinkov, ktoré sa používajú.

    A potom to zahodíme s ďalším pohľadom na to, ako sa niektoré adware v dnešných dňoch skrývajú za procesmi spoločnosti Microsoft, takže sa zdajú byť legitímne v Process Explorer alebo Správcovi úloh, aj keď naozaj nie sú.

    Vyšetrovanie škodlivého softvéru vo vyhľadávacej sieti Conduit

    Ako sme už spomenuli, hľadanie únosca Conduit je jednou z najtrvalejších, hroznejších a hroznejších vecí, ktoré takmer každý z vašich príbuzných pravdepodobne má na svojom počítači. Spájajú svoj softvér tichým spôsobom s ľubovoľným bezplatným softvérom, ktorý môže, av mnohých prípadoch dokonca aj vtedy, ak zvolíte možnosť zrušenia, bude útočník naďalej nainštalovaný.

    Conduit nainštaluje to, čo nazývajú "Chráňte vyhľadávanie", čo podľa ich názoru zabraňuje škodlivému softvéru, aby vykonal zmeny vo vašom prehliadači. Čo neuvádzajú, je, že vám tiež zabraňuje vykonať zmeny v prehliadači, pokiaľ nepoužijete panel Search Search na vykonanie týchto zmien, ktoré väčšina ľudí nebude vedieť o tom, pretože je pochovaný v systémovej lište.

    Nielen, že Conduit presmeruje všetky vaše vyhľadávania na svoju vlastnú stránku Bing, ale nastaví to ako vašu domovskú stránku. Jeden by musel predpokladať, že ich spoločnosť Microsoft platí za túto prevádzku Bingovi, pretože aj niektoré prechádzajú ?pc = potrubia typ argumentov v reťazci dopytu.

    Zábavný fakt: spoločnosť za týmto kusom odpadu má hodnotu 1,5 miliardy dolárov a JP Morgan investoval 100 miliónov dolárov do nich. Byť zlé je ziskové.

    Conduit zabije stránku Nová karta ... Ale ako?

    Zavádzanie vyhľadávacej a domácej stránky je triviálne pre akýkoľvek malware - to je miesto, kde Conduit zintenzívňuje zlo a nejako prepíše stránku Nová karta a núti ju zobraziť Conduit, aj keď zmeníte každé nastavenie.

    Môžete odinštalovať všetky prehliadače alebo dokonca nainštalovať prehliadač, ktorý ste predtým nemali nainštalovaný, napríklad Firefox alebo Chrome a Conduit sa stále dokáže zbaviť stránky Nová karta.

    Niekto by mal byť vo väzení, ale je pravdepodobne na jachte.

    Nevyžaduje veľa, pokiaľ ide o zručnosti geek, aby sa nakoniec vyvodil, že problémom je aplikácia Search Protect spustená v systémovej lište. Zabite tento proces a náhle sa vaše nové karty otvárajú tak, ako výrobca prehliadača zamýšľal.

    Ale ako presne to robí? V žiadnom z prehliadačov nie sú nainštalované žiadne doplnky ani rozšírenia. Neexistujú žiadne doplnky. Registry sú čisté. Ako to robia?

    To je miesto, kde sa obrátime na Process Explorer, aby sme vykonali nejaké vyšetrovanie. Najprv nájdeme proces vyhľadávania v zozname, ktorý je dostatočne jednoduchý, pretože je správne pomenovaný, ale ak si nie ste istí, môžete vždy otvoriť okno a použiť ikonu malého býka-oko vedľa ďalekohľad, aby ste zistili, ktorý proces patrí k oknu.

    Teraz môžete jednoducho vybrať vhodný proces, ktorý je v tomto prípade jedným z troch, ktoré automaticky spúšťajú služba Windows Service that Conduit sa inštaluje. Ako som vedel, že to bola služba Windows, ktorá ho reštartuje? Pretože farba tohto riadka je ružová, samozrejme. Vyzbrojený týmito vedomosťami, mohol by som vždy zastaviť alebo odstrániť službu (aj keď v tomto konkrétnom prípade môžete jednoducho odinštalovať od odinštalovať programy v ovládacom paneli).

    Teraz, keď ste vybrali tento proces, môžete pomocou klávesových skratiek CTRL + H alebo CTRL + D otvoriť zobrazenie Handles alebo zobrazenie DLL, alebo ho môžete použiť na zobrazenie View -> Lower Pane View.

    Poznámka: vo svete systému Windows je "handle" celočíselná hodnota, ktorá sa používa na jednoznačnú identifikáciu zdroja v pamäti, ako je okno, otvorený súbor, proces alebo mnoho ďalších vecí. Každé otvorené okno aplikácie na vašom počítači má napríklad jedinečný "popisovač okna", ktorý je možné použiť na jeho zmienku.

    DLL alebo knižnice dynamických odkazov sú zdieľané kusy kompilovaného kódu, ktoré sú uložené v samostatnom súbore, ktorý sa má zdieľať medzi viacerými aplikáciami. Napríklad, namiesto toho, aby každá aplikácia napísala svoje vlastné dialógy File Open / Save, všetky aplikácie môžu jednoducho použiť spoločný dialógový kód poskytovaný systémom Windows v súbore comdlg32.dll.

    Pri pohľade na zoznam úchytiek niekoľko minút sme nám trochu priblížili k tomu, čo sa deje, pretože sme našli rukoväte do programu Internet Explorer a Chrome, ktoré sú v súčasnosti otvorené na testovacom systéme. Určite sme potvrdili, že Search Protect robí niečo v našich otvorených oknách prehliadača, ale budeme musieť urobiť trochu viac výskumu, aby sme zistili presne to, čo.

    Ďalšia vec, ktorú je potrebné urobiť, je dvojitým kliknutím na proces v zozname, čím otvoríte zobrazenie podrobností a potom prejdete na kartu Obrázok, ktorá vám poskytne informácie o úplnej ceste k spustiteľnému súboru, príkazovému riadku a dokonca aj pracovný priečinok. Klikneme na tlačidlo Preskúmať a pozrieme sa na inštalačný priečinok a uvidíme, čo sa tam skrýva.

    Zaujímavé! Nájdili sme tu množstvo súborov DLL, ale z nejakého podivného dôvodu žiadny z týchto súborov DLL nebol uvedený v zobrazení DLL pre proces vyhľadávania, keď sme sa na ne pozerali skôr. Mohlo by to byť problém.

    Ďalšia stránka: Práca s uzamknutými súbormi a priečinkami