ISKOLAI NAVIGÁCIÓ
- Mi a SysInternals eszközök és hogyan használja őket?
- A folyamatérzékelő megértése
- A Folyamatérzékelő használata a hibaelhárításhoz és a diagnosztizáláshoz
- A folyamatfigyelő megértése
- A Folyamatmonitor használata a Hibaelhárítás és a Regisztrációs Hackok kereséséhez
- Az Autoruns használata az indítási folyamatokkal és a rosszindulatú programokkal
- A BgInfo használatával megjeleníti a rendszerinformációkat az asztalon
- A PsTools használatával más számítógépek vezérlése a parancssorból
- A fájlok, mappák és meghajtók elemzése és kezelése
- Felhúzás és az eszközök együttes használata
Nem olyan régen kezdtünk el vizsgálni mindenféle rosszindulatú programot és crapware-t, amelyet automatikusan telepítünk minden alkalommal, amikor nem figyeljünk a szoftver telepítésekor. A piacon megjelenő összes freeware eszköz, beleértve a "jó hírnevet" is, összekapcsolja az eszköztárakat, szörnyűségeket vagy adware-t keres, és némelyiket nehéz elhárítani.
Láttunk sok számítógépet az emberektől, hogy tudjuk, hogy annyi spyware és adware telepítve van, hogy a számítógép alig töltődik többé. A webböngésző betöltésére való törekvés szinte lehetetlen, hiszen az összes adware és nyomkövető szoftver versenytársa az erőforrásoknak, hogy ellopják a személyes adatait, és eladják a legmagasabb ajánlattevőknek.
Tehát természetesen szeretnénk egy kicsit vizsgálni, hogy ezek közül melyik működik, és nincs jobb kiindulópont, mint a Conduit Search malware, amely több száz millió számítógépet igényelt világszerte. Ez a szörnyű szörnyűség eltévedt a keresőmotorral a böngészőjében, megváltoztatja a kezdőlapját és a legtöbb bosszantó módon átveszi az Új lap oldalát, függetlenül attól, hogy milyen a böngészője.
Kezdjük azzal, hogy megnézzük, majd megmutatjuk, hogyan használhatja a Folyamatérzékelőt a zárolt fájlok és mappák használatával kapcsolatos hibák elhárításához.
Aztán megnézzük, hogyan néz ki néhány adware mostanában a Microsoft folyamatok mögé bujkálva, úgyhogy a Process Explorerben vagy a Feladatkezelőben legitimnek tűnnek, annak ellenére, hogy valóban nem.
A Conduit Search Malware vizsgálata
Mint már említettük, a Conduit keresés eltérítője az egyik legveszélyesebb, szörnyű és rettenetes dolog, melynek szinte minden hozzátartozója valószínűleg a számítógépén van. Ők csomagolják szoftverüket árnyékos módon minden olyan ingyenes programhoz, amit tudnak, és sok esetben, még akkor is, ha kiválasztja a lemondását, a gépeltérítő még mindig telepítve lesz.
A Conduit telepíti a "Search Protect" -et, amit azt állítanak, hogy megakadályozza, hogy a rosszindulatú programok módosítsák a böngészőt. Amit nem említenek, az azt is megakadályozza, hogy a böngészőben változtatásokat hajtson végre, hacsak nem használja a Search Protect paneljét, hogy végrehajtsa azokat a változtatásokat, amelyekről a legtöbb ember nem fog tudni, mivel a rendszer tálcájában van.
Nem csak a Conduit átirányítja az összes keresést a saját egyéni Bing oldalára, hanem a kezdőlapként. Fel kell tételeznünk, hogy a Microsoft mindezen forgalmat a Bingért fizeti meg, hiszen ők is elhaladnak ? Pc = vezetéken az argumentumok típusa a lekérdezési karakterláncban.
Szórakoztató tény: az ez a szemét mögötti cég 1,5 milliárd dollárt ér, és a JP Morgan 100 millió dollárt fektett be. A gonoszság nyereséges.
A Conduit elveszti az új lap lapját … De hogyan?
A keresés és a kezdőlap eltávolítása triviális minden rosszindulatú program esetében - ebben az esetben a Conduit fokozza a gonoszt, és valahogy újraírja az Új lap oldalát, hogy kényszerítse a Conduit bemutatását, még akkor is, ha minden egyes beállítást megváltoztat.
Bármely böngészőjét eltávolíthatja, vagy akár olyan böngészőt is telepíthet, amelyet korábban még nem telepített, például a Firefox vagy a Chrome, és a Conduit továbbra is kezeli az új lap oldalának eltérítését.
Itt fordulunk a Feldolgozó Explorerhez, hogy elvégezzük a vizsgálatot. Először is megtaláljuk a Search Protect folyamatot a listán, ami elég könnyű, mert helyesen neveztük el, de ha nem volt biztos benne, akkor mindig nyithatjuk meg az ablakot és használhatjuk a kis bulls-eye ikont a távcsöveket, hogy kiderüljön, melyik folyamat egy ablakhoz tartozik.
Most, hogy kiválasztotta a folyamatot, a CTRL + H vagy a CTRL + D gyorsbillentyűkkel nyithatja meg a Fogatok nézetet vagy a DLL-nézeteket, vagy a Nézet -> Alsó sarki nézet menü használatával elvégezheti.
Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.
DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.
Néhány percig a fogantyúk listáján keresztül néztünk egy kicsit közelebb a történtekhez, mert az Internet Explorer és a Chrome kezeléseit találtuk, amelyek mindegyike jelenleg a tesztrendszeren van. Határozottan megerősítettük, hogy a Search Protect valami mást tesz a nyitott böngészőablakainkhoz, de még egy kis kutatást kell elvégeznünk ahhoz, hogy pontosan meg tudjuk határozni.