Použití Process Explorer k odstraňování a diagnostice

Pochopení toho, jak dialogy a možnosti aplikace Průzkumník pracují, jsou v pořádku a dobré, ale co s tím, jak je používáte pro nějaké skutečné řešení problémů nebo pro diagnostiku problému? Dnešní lekce Geek School se bude snažit a pomůže vám naučit se, jak to udělat.

ŠKOLNÍ NAVIGACE

1. Jaké jsou nástroje SysInternals a jak je používáte?
2. Porozumění procesu průzkumu
3. Použití Process Explorer k odstraňování a diagnostice
4. Porozumění procesu sledování
5. Použití monitorovacího procesu k odstraňování a nalezení hackerů v registru
6. Použití autorunů k řešení spouštěcích procesů a malwaru
7. Pomocí BgInfo zobrazíte informace o systému na ploše
8. Použití PsTools pro ovládání jiných počítačů z příkazového řádku
9. Analýza a správa souborů, složek a disků
10. Zalomení a používání nástrojů společně

Ne tak dávno jsme začali vyšetřovat nejrůznější malware a crapware, které se automaticky instalují kdykoli při instalaci softwaru nevěnujete pozornost. Téměř každý kus freeware na trhu, včetně těch, kteří jsou "uznávanými", spojují panely nástrojů, hledají únosy nebo adware a některé z nich jsou těžké odstraňovat.

Viděli jsme mnoho počítačů od lidí, o kterých víme, že mají tolik spywaru a adware instalovaných, že se počítač sotva zatíží. Snaha o načtení webového prohlížeče je obzvláště nemožná, protože veškerý adware a sledovací software soutěží o zdroje k tomu, aby ukradli vaše soukromé informace a prodali je nejdražšímu.

Takže jsme přirozeně chtěli udělat trochu vyšetřování, jak některé z nich fungují a není lepší začít, než malware Conduit Search, který si vyžádal stovky milionů počítačů po celém světě. Tato špatná strašlivost zabraňuje váš vyhledávač ve vašem prohlížeči, mění vaši domovskou stránku a nejvíce nepříjemně převezme stránku Nová karta bez ohledu na to, jaký je váš prohlížeč nastaven na.

Začneme tím, že se na to podíváme, a pak vám ukážeme, jak pomocí programu Průzkumník odstraňovat chyby, které hovoří o uzamčených souborech a složkách, které se používají.

A pak ji zaokrouhlujeme s dalším pohledem na to, jak se některé adware v dnešní době skrývají za procesy společnosti Microsoft, takže se zdají být legitimní ve službě Process Explorer nebo správci úkolů, přestože skutečně nejsou.

Vyšetřování škodlivého softwaru

Jak jsme se zmínili, detektivní průzkumník Conduit je jedním z nejtrvalejších, hrozivějších a hrozivějších věcí, které pravděpodobně má každý váš příbuzný na svém počítači. Svazují svůj software stinnými způsoby s libovolným bezplatným softwarem a v mnoha případech, i když zvolíte odhlášení, bude útočník stále nainstalován.

Conduit nainstaluje to, co nazývají "Search Protect", což podle jejich názoru zabraňuje malwaru provést změny ve vašem prohlížeči. Nezmínit je, že také zabraňuje vám provádět změny v prohlížeči, pokud nepoužijete jejich panel Search Search pro provedení těchto změn, o kterých většina lidí nebude vědět, protože je pohřben v systémové liště.

Nejen, že Conduit přesměruje všechna vaše vyhledávání na vlastní stránku Bing, ale nastaví to jako domovskou stránku. Jeden by musel předpokládat, že Microsoft je platí pro celou tuto dopravu Bingovi, protože také prochází některými ?pc = potrubí typ argumentů v řetězci dotazu.

Zábavný fakt: společnost za tímto odpadem stojí 1,5 miliardy dolarů a JP Morgan investoval do nich 100 milionů dolarů. Být zlo je ziskové.

Conduit se zbavuje nové stránky v záložce ... Ale jak?

Odstraňování vyhledávání a domovské stránky je triviální pro jakýkoli malware - to je místo, kde Conduit zesiluje zlo a nějakým způsobem přepisuje stránku Nová karta a přiměje ji, aby zobrazila Conduit, i když změníte každé nastavení.

Můžete odinstalovat všechny prohlížeče, nebo dokonce nainstalovat prohlížeč, který jste předtím neměli nainstalovat, jako je Firefox nebo Chrome, a Conduit se i nadále podaří zabít stránku Nová karta.

Někdo by měl být ve vězení, ale pravděpodobně jsou na jachtě.

Nevyžaduje mnoho z hlediska geek dovedností nakonec vyvodit, že problémem je Search Protect aplikace běžící v systémové liště. Zabijte tento proces a najednou se vaše nové karty otevřou právě tak, jaký výrobce prohlížeče zamýšlel.

Ale jak to přesně dělá? V žádném z prohlížečů nejsou nainstalovány žádné doplňky ani rozšíření. Neexistují žádné pluginy. Registr je čistý. Jak to dělají?

To je místo, kde se obracíme na Process Explorer, abychom provedli nějaké vyšetřování. Nejdříve nalezneme proces hledání v seznamu, který je dostatečně snadný, protože je správně pojmenován, ale pokud si nejste jisti, můžete vždy otevřít okno a použít malou ikonu býčí oko vedle dalekohledy, aby zjistili, který proces patří do okna.

Nyní můžete jednoduše vybrat vhodný proces, který v tomto případě byl jeden ze tří, které automaticky spouštějí služba Windows Service Conduit, která se instaluje. Jak jsem věděla, že je to služba Windows, která ji restartuje? Protože barva tohoto řádku je samozřejmě růžová. Vyzbrojeni těmi znalostmi jsem vždy mohl zastavit nebo smazat službu (i když v tomto konkrétním případě můžete jednoduše odinstalovat z Odinstalovat programy v Ovládacích panelech).

Nyní, když jste tento proces vybrali, můžete pomocí klávesových zkratek CTRL + H nebo CTRL + D otevřít zobrazení Pohlednice nebo zobrazení DLL, nebo můžete použít nabídku Zobrazit -> Pohled dolní podokno.

Poznámka: ve světě Windows je "handle" celočíselná hodnota, která se používá k jednoznačné identifikaci zdroje v paměti, jako je okno, otevřený soubor, proces nebo mnoho dalších věcí. Každé otevřené okno aplikace v počítači má například jedinečnou "popisku okna", kterou lze použít k jeho odkazování.

DLL nebo knihovny dynamických odkazů jsou sdílené části kompilovaného kódu, které jsou uloženy v samostatném souboru, který se má sdílet mezi více aplikacemi. Například namísto toho, aby každá aplikace napsala své vlastní dialogy File Open / Save, mohou všechny aplikace jednoduše použít společný dialogový kód poskytovaný systémem Windows v souboru comdlg32.dll.

Při pohledu na seznam úchytek na pár minut jsme se trochu přiblížili tomu, co se dělo, protože jsme našli rukojeti aplikace Internet Explorer a Chrome, které jsou v současné době otevřené na testovacím systému. Rozhodně jsme potvrdili, že Search Protect něco dělá v našich otevřených oknech prohlížeče, ale budeme muset udělat trochu více výzkumu, abychom zjistili, co přesně.

Dalším úkolem je dvojitým kliknutím na proces v seznamu otevřít zobrazení podrobností a přejít na kartu Obrázek, která vám poskytne informace o úplné cestě k spustitelnému souboru, příkazovému řádku a dokonce i pracovní složku. Klepnutím na tlačítko Prozkoumat se podívejte na instalační složku a zjistíte, co se tam skrývá.

Zajímavý! Nalezli jsme zde řadu souborů DLL, ale kvůli nějakému podivnému důvodu žádný z těchto souborů DLL nebyl uveden v zobrazení DLL pro proces Vyhledávání, když jsme se na to dívali dříve. To by mohlo být problém.

Další stránka: Práce s uzamčenými soubory a složkami