Pagrindinis » mokykloje » Proceso naršyklės naudojimas trikčių šalinimui ir diagnostikai

    Proceso naršyklės naudojimas trikčių šalinimui ir diagnostikai

    Suprasti, kaip „Process Explorer“ dialogai ir parinktys veikia gerai ir gerai, bet ką apie naudojimąsi tam tikru faktiniu trikčių šalinimu arba problemos diagnostika? Šiandienos „Geek School“ pamoka bandys jums padėti išmokti tai padaryti.

    MOKYKLOS NAVIGACIJA
    1. Kokie yra „SysInternals“ įrankiai ir kaip juos naudoti?
    2. Suprasti „Process Explorer“
    3. Proceso naršyklės naudojimas trikčių šalinimui ir diagnostikai
    4. Suprasti procesų monitorių
    5. Proceso monitoriaus naudojimas trikčių šalinimui ir registro talpyklų paieškai
    6. „Autoruns“ naudojimas sprendžiant paleidimo procesus ir kenkėjišką programą
    7. „BgInfo“ naudojimas sisteminei informacijai rodyti darbalaukyje
    8. Naudojant PsTools valdyti kitus kompiuterius iš komandinės eilutės
    9. Failų, aplankų ir diskų analizė ir valdymas
    10. Įrankių apvyniojimas ir naudojimas kartu

    Ne taip seniai mes pradėjome tyrinėti visų rūšių kenkėjiškas programas ir „crapware“, kurios automatiškai diegiamos automatiškai bet kuriuo metu, kai diegiate programinę įrangą. Beveik kiekvienas rinkoje esantis nemokama programinė įranga, įskaitant „gerbiamus“, susieja įrankių juostas, ieško užgrobimo baisumo ar reklaminių programų, o kai kurie iš jų yra sunkiai šalinami.

    Mes matėme daugybę kompiuterių iš žmonių, kuriuos žinome, kad įdiegė tiek daug šnipinėjimo programų ir reklaminių programų, kad kompiuteris vos netgi neužkrauna. Ypač neįmanoma bandyti įkelti žiniatinklio naršyklę, nes visa reklamos ir stebėjimo programinė įranga konkuruoja dėl išteklių, kad pavogtų jūsų asmeninę informaciją ir parduotų ją aukščiausiam pasiūlymo teikėjui.

    Taigi, žinoma, norėjome šiek tiek ištirti, kaip kai kurie iš šių darbų, ir nėra geresnės vietos pradėti kaip Conduit Search kenkėjiškų programų, kurios visame pasaulyje reikalavo šimtus milijonų kompiuterių. Šis baisus baisumas užgniaužia jūsų paieškos variklį naršyklėje, pakeičia pagrindinį puslapį ir labiausiai erzina, kad perima naują skirtuką, nepriklausomai nuo jūsų naršyklės nustatymo.

    Pradėsime žiūrėti į tai, o tada parodysime, kaip naudoti „Process Explorer“, kad būtų pašalintos klaidos, kuriose kalbama apie užrakintus failus ir aplankus, kurie naudojami.

    Tuomet mes apžvelgsime, kaip kai kurios reklamos programos šiais laikais slepiasi už „Microsoft“ procesų, todėl jos pasirodo teisėtos „Process Explorer“ arba „Task Manager“, net jei jos tikrai nėra.

    „Conduit Search Malware“ tyrimas

    Kaip minėjome, „Conduit“ paieškos užgrobėjas yra vienas iš patvariausių, baisiausių ir baisiausių dalykų, kuriuos beveik kiekvienas iš jūsų giminaičių tikriausiai turi savo kompiuteryje. Jie susieja savo programinę įrangą šešėliais būdais su bet kokiomis laisvomis programomis, kurias jie gali, ir daugeliu atvejų, net jei pasirinksite atsisakyti, užgrobėjas vis tiek bus įdiegtas.

    „Conduit“ įdiegia tai, ką jie vadina „Search Protect“, nes jie neleidžia kenkėjiškoms programoms keisti naršyklės. Nepaminėta, kad ji taip pat neleidžia daryti jokių pakeitimų savo naršyklėje, nebent naudosite savo paieškos apsaugos skydelį, kad atliktumėte tuos pakeitimus, kuriuos dauguma žmonių nežino, nes jis palaidotas sistemos dėkle.

    „Conduit“ ne tik nukreips jūsų paiešką į savo pasirinktą „Bing“ puslapį, bet ir nustatys, kad jis bus jūsų pagrindinis puslapis. Galima daryti prielaidą, kad „Microsoft“ moka juos už visą šį srautą į „Bing“, nes jie taip pat praeina ?pc = kanalas argumentų tipas užklausos eilutėje.

    Įdomus faktas: už šią šiukšlių dalį užima 1,5 mlrd. Dolerių, o JP Morgan į juos investavo 100 mln. Dolerių. Blogis yra pelningas.

    „Conduit“ užgrobia naują skirtuko puslapį ... bet kaip?

    Jūsų paieškos ir pagrindinio puslapio užgrobimas yra nereikšmingas bet kuriai kenkėjiškai programai - tai yra, kai Conduit pakelia blogį ir kažkaip perrašo naują skirtuką, kad priverstų rodyti „Conduit“, net jei pakeisite kiekvieną nustatymą.

    Galite pašalinti visas naršykles arba net įdiegti anksčiau neįdiegtą naršyklę, pvz., „Firefox“ arba „Chrome“, ir „Conduit“ vis tiek sugebės užgrobti puslapį „Naujas skirtukas“.

    Kažkas turėtų būti kalėjime, bet tikriausiai jie yra jachtoje.

    Tai nereiškia, kad geekų įgūdžiai yra labai svarbūs, kad galiausiai būtų galima daryti išvadą, kad problema yra „Search Protect“ programa, veikianti sistemos dėkle. Nužudyk šį procesą, ir staiga jūsų nauji skirtukai atsidaro taip, kaip numatė naršyklės kūrėjas.

    Bet kaip tiksliai tai daro? Į naršyklę nėra įdiegtų priedų ar plėtinių. Nėra jokių papildinių. Registras yra švarus. Kaip jie tai padaro?

    Štai kur kreipiamės į „Process Explorer“, kad atliktume tyrimą. Visų pirma, sąraše bus rastas paieškos apsaugos procesas, kuris yra pakankamai paprastas, nes jis yra tinkamai pavadintas, bet jei nesate tikri, visada galite atidaryti langą ir naudoti mažą akių piktogramą šalia žiūronai išsiaiškinti, kuris procesas priklauso langui.

    Dabar galite tiesiog pasirinkti tinkamą procesą, kuris šiuo atveju buvo vienas iš trijų, kuriuos „Windows“ tarnyba automatiškai įdiegia „Conduit“ įdiegus. Kaip aš žinojau, kad tai yra „Windows“ paslauga, kuri ją iš naujo paleidžia? Žinoma, tos eilutės spalva yra rožinė. Ginkluotosiomis žiniomis, aš visuomet galėčiau sustabdyti arba ištrinti paslaugą (nors šiuo konkrečiu atveju galite tiesiog išdiegti iš Valdymo skydo programos Pašalinti programas).

    Pasirinkę procesą, galite naudoti CTRL + H arba CTRL + D sparčiųjų klavišų klavišus, kad atidarytumėte rankenų vaizdą arba DLL rodinį, arba galite naudoti „View -> Lower Pane View“ meniu..

    Pastaba: „Windows“ pasaulyje „rankena“ yra sveikasis skaičius, naudojamas unikaliajai atminties išteklių identifikacijai, pvz., langui, atviram failui, procesui ar daugeliui kitų dalykų. Kiekviename jūsų kompiuteryje atidarytame programos lange yra unikali „langų rankena“, kurią galima naudoti norint ją nurodyti.

    DLL arba dinaminių nuorodų bibliotekos yra bendrai sukompiliuoto kodo vienetai, kurie yra saugomi atskirame faile, kad juos būtų galima bendrinti tarp kelių programų. Pavyzdžiui, vietoj to, kad kiekviena programa rašytų savo rinkmenų atidarymo / išsaugojimo dialogus, visos programos gali tiesiog naudoti bendrąjį dialogo kodą, kurį „Windows“ pateikia faile comdlg32.dll.

    Per kelias minutes žiūrint rankenų sąrašą, mes šiek tiek priartėjome prie to, kas vyksta, nes radome rankenas prie „Internet Explorer“ ir „Chrome“, kurios abi yra atviros bandymų sistemoje. Mes neabejotinai patvirtinome, kad „Search Protect“ daro kažką mūsų atvirų naršyklės langų, tačiau turėsime atlikti šiek tiek daugiau tyrimų, kad išsiaiškintume, ką tiksliai.

    Kitas dalykas, kurį reikia padaryti, yra dukart spustelėkite procesą sąraše, kad atidarytumėte informacijos rodinį, tada apverskite skirtuką Vaizdas, kuris suteiks jums informacijos apie visą kelią į vykdomąjį, komandų eilutę ir netgi darbo aplanką. Spustelėsime mygtuką „Naršyti“, jei norite pažvelgti į diegimo aplanką ir pamatyti, kas dar slepiasi.

    Įdomus! Čia radome daugybę DLL failų, bet dėl ​​kažkokio keistos priežasties nė vienas iš šių DLL failų nebuvo įtrauktas į „DLL“ peržiūrą „Search Protect“ procesui, kai žiūrėjome į jį anksčiau. Tai gali būti problema.

    Kitas puslapis: Darbas su užrakintais failais ir aplankais