A Folyamatérzékelő használata a hibaelhárításhoz és a diagnosztizáláshoz

2024 Szerző: Geoffrey Carr | [email protected]. Utoljára módosítva: 2024-01-12 05:18

ISKOLAI NAVIGÁCIÓ

1. Mi a SysInternals eszközök és hogyan használja őket?
2. A folyamatérzékelő megértése
3. A Folyamatérzékelő használata a hibaelhárításhoz és a diagnosztizáláshoz
4. A folyamatfigyelő megértése
5. A Folyamatmonitor használata a Hibaelhárítás és a Regisztrációs Hackok kereséséhez
6. Az Autoruns használata az indítási folyamatokkal és a rosszindulatú programokkal
7. A BgInfo használatával megjeleníti a rendszerinformációkat az asztalon
8. A PsTools használatával más számítógépek vezérlése a parancssorból
9. A fájlok, mappák és meghajtók elemzése és kezelése
10. Felhúzás és az eszközök együttes használata

Nem olyan régen kezdtünk el vizsgálni mindenféle rosszindulatú programot és crapware-t, amelyet automatikusan telepítünk minden alkalommal, amikor nem figyeljünk a szoftver telepítésekor. A piacon megjelenő összes freeware eszköz, beleértve a "jó hírnevet" is, összekapcsolja az eszköztárakat, szörnyűségeket vagy adware-t keres, és némelyiket nehéz elhárítani.

Láttunk sok számítógépet az emberektől, hogy tudjuk, hogy annyi spyware és adware telepítve van, hogy a számítógép alig töltődik többé. A webböngésző betöltésére való törekvés szinte lehetetlen, hiszen az összes adware és nyomkövető szoftver versenytársa az erőforrásoknak, hogy ellopják a személyes adatait, és eladják a legmagasabb ajánlattevőknek.

Tehát természetesen szeretnénk egy kicsit vizsgálni, hogy ezek közül melyik működik, és nincs jobb kiindulópont, mint a Conduit Search malware, amely több száz millió számítógépet igényelt világszerte. Ez a szörnyű szörnyűség eltévedt a keresőmotorral a böngészőjében, megváltoztatja a kezdőlapját és a legtöbb bosszantó módon átveszi az Új lap oldalát, függetlenül attól, hogy milyen a böngészője.

Kezdjük azzal, hogy megnézzük, majd megmutatjuk, hogyan használhatja a Folyamatérzékelőt a zárolt fájlok és mappák használatával kapcsolatos hibák elhárításához.

Aztán megnézzük, hogyan néz ki néhány adware mostanában a Microsoft folyamatok mögé bujkálva, úgyhogy a Process Explorerben vagy a Feladatkezelőben legitimnek tűnnek, annak ellenére, hogy valóban nem.

A Conduit Search Malware vizsgálata

Mint már említettük, a Conduit keresés eltérítője az egyik legveszélyesebb, szörnyű és rettenetes dolog, melynek szinte minden hozzátartozója valószínűleg a számítógépén van. Ők csomagolják szoftverüket árnyékos módon minden olyan ingyenes programhoz, amit tudnak, és sok esetben, még akkor is, ha kiválasztja a lemondását, a gépeltérítő még mindig telepítve lesz.

A Conduit telepíti a "Search Protect" -et, amit azt állítanak, hogy megakadályozza, hogy a rosszindulatú programok módosítsák a böngészőt. Amit nem említenek, az azt is megakadályozza, hogy a böngészőben változtatásokat hajtson végre, hacsak nem használja a Search Protect paneljét, hogy végrehajtsa azokat a változtatásokat, amelyekről a legtöbb ember nem fog tudni, mivel a rendszer tálcájában van.

Nem csak a Conduit átirányítja az összes keresést a saját egyéni Bing oldalára, hanem a kezdőlapként. Fel kell tételeznünk, hogy a Microsoft mindezen forgalmat a Bingért fizeti meg, hiszen ők is elhaladnak ? Pc = vezetéken az argumentumok típusa a lekérdezési karakterláncban.

Szórakoztató tény: az ez a szemét mögötti cég 1,5 milliárd dollárt ér, és a JP Morgan 100 millió dollárt fektett be. A gonoszság nyereséges.

A Conduit elveszti az új lap lapját … De hogyan?

A keresés és a kezdőlap eltávolítása triviális minden rosszindulatú program esetében - ebben az esetben a Conduit fokozza a gonoszt, és valahogy újraírja az Új lap oldalát, hogy kényszerítse a Conduit bemutatását, még akkor is, ha minden egyes beállítást megváltoztat.

Bármely böngészőjét eltávolíthatja, vagy akár olyan böngészőt is telepíthet, amelyet korábban még nem telepített, például a Firefox vagy a Chrome, és a Conduit továbbra is kezeli az új lap oldalának eltérítését.

Itt fordulunk a Feldolgozó Explorerhez, hogy elvégezzük a vizsgálatot. Először is megtaláljuk a Search Protect folyamatot a listán, ami elég könnyű, mert helyesen neveztük el, de ha nem volt biztos benne, akkor mindig nyithatjuk meg az ablakot és használhatjuk a kis bulls-eye ikont a távcsöveket, hogy kiderüljön, melyik folyamat egy ablakhoz tartozik.

Most, hogy kiválasztotta a folyamatot, a CTRL + H vagy a CTRL + D gyorsbillentyűkkel nyithatja meg a Fogatok nézetet vagy a DLL-nézeteket, vagy a Nézet -> Alsó sarki nézet menü használatával elvégezheti.

Note: in the world of Windows, a “handle” is an integer value that is used to uniquely identify a resource in memory like a window, an open file, a process, or many other things. Each open application window on your computer has a unique “window handle”, for example, that can be used to reference it.

DLLs, or dynamic link libraries, are shared pieces of compiled code that are stored in a separate file to be shared among multiple applications. For instance, instead of having every application write their own File Open / Save dialogs, all applications can simply use the common dialog code provided by Windows in the comdlg32.dll file.

Néhány percig a fogantyúk listáján keresztül néztünk egy kicsit közelebb a történtekhez, mert az Internet Explorer és a Chrome kezeléseit találtuk, amelyek mindegyike jelenleg a tesztrendszeren van. Határozottan megerősítettük, hogy a Search Protect valami mást tesz a nyitott böngészőablakainkhoz, de még egy kis kutatást kell elvégeznünk ahhoz, hogy pontosan meg tudjuk határozni.