Process Explorer izmantošana, lai novērstu un diagnosticētu
Izpratne par to, kā Process Explorer dialogi un opcijas darbojas, ir labi un labi, bet gan par to, kā to izmantot kādai faktiskai traucējummeklēšanai vai problēmas diagnosticēšanai? Šodienas Geek skolas nodarbība mēģinās palīdzēt jums uzzināt, kā to darīt.
SKOLAS NAVIGĀCIJA- Kādi ir SysInternals rīki un kā tos lietojat?
- Process Explorer izpratne
- Process Explorer izmantošana, lai novērstu un diagnosticētu
- Procesa monitora izpratne
- Procesa monitora izmantošana, lai novērstu un atrastu reģistra sistēmas
- Izmantojot Autoruns, lai risinātu palaišanas procesus un ļaunprātīgu programmatūru
- BgInfo izmantošana sistēmas informācijas parādīšanai darbvirsmā
- PsTools izmantošana citu datoru vadīšanai no komandrindas
- Failu, mapju un disku analīze un pārvaldīšana
- Rīku apvienošana un lietošana kopā
Ne tik sen mēs sākām izpētīt visu veidu ļaunprātīgas programmatūras un crapware, kas tiek instalēti automātiski jebkurā laikā, kad jūs nepievēršat uzmanību, instalējot programmatūru. Gandrīz katrs tirgū esošais freeware gabals, ieskaitot “cienījamos”, apvieno rīkjoslas, meklējot nolaupīšanas šausmīgumu vai adware, un daži no tiem ir grūti novērst.
Mēs esam redzējuši daudzus datorus no cilvēkiem, kurus mēs zinām, ka ir instalēti tik daudz spiegprogrammatūru un Adware, ka PC tikko vien pat slodzes. Jo īpaši mēģinot ielādēt tīmekļa pārlūkprogrammu, ir gandrīz neiespējami, jo visas reklāmas un izsekošanas programmatūras konkurē par resursiem, lai nozagtu jūsu privāto informāciju un pārdotu to visaugstākajam solītājam.
Tāpēc, protams, mēs vēlējāmies mazliet izpētīt, kā daži no šiem darbiem, un nav labākas vietas, kur sākt Conduit Search ļaunprātīgu programmatūru, kas visā pasaulē ir pieprasījusi simtiem miljonu datoru. Šī nežēlīgā šausmība jūsu meklētājprogrammu pārlūko, pārvērš jūsu mājas lapu, un visbiežāk kaitinoši, tā pārņem jūsu jaunās cilnes lapu neatkarīgi no jūsu pārlūkprogrammas iestatījuma.
Mēs sāksim ar to apskatīt, un tad mēs parādīsim, kā izmantot Process Explorer, lai novērstu kļūdas, kas runā par bloķētajiem failiem un mapēm, kas tiek izmantotas.
Un tad mēs to aplūkosim ar citu izskatu, kā dažas no šīm dienām slēpj sevi aiz Microsoft procesiem, lai viņi parādās likumīgi procesa pārlūkā vai uzdevumu pārvaldniekā, lai gan tie patiešām nav.
Cauruļu meklēšanas ļaunprātīgas programmatūras izpēte
Kā jau minējām, Conduit meklēšanas lidmašīnas nolaupītājs ir viena no noturīgākajām, šausmīgākajām un briesmīgākajām lietām, kuras gandrīz katram jūsu radiniekam, iespējams, ir savā datorā. Viņi apvieno savu programmatūru ēnainā veidā, izmantojot jebkuru bezmaksas programmu, un daudzos gadījumos, pat ja izvēlaties atteikties, lidmašīnas nolaupītājs joprojām tiks instalēts.
Conduit instalē to, ko viņi sauc par „Search Protect”, ko viņi apgalvo, neļauj ļaunprātīgām programmatūrām veikt izmaiņas jūsu pārlūkprogrammā. Tas, ko viņi nepiemin, ir tas, ka tas arī neļauj jums veikt izmaiņas savā pārlūkprogrammā, ja vien neizmantojat savu meklēšanas aizsardzības paneli, lai veiktu šīs izmaiņas, ko lielākā daļa cilvēku nezina, jo tas ir aprakts sistēmas teknē.
Conduit ne tikai novirzīs visus jūsu meklējumus uz savu pielāgoto Bing lapu, bet arī to noteiks kā jūsu mājas lapu. Būtu jāpieņem, ka Microsoft maksā tos par visu šo satiksmi uz Bing, jo tie arī iet dažos ?pc = kanāls argumentu veids vaicājuma virknē.
Fun fakts: uzņēmums aiz šī gabala atkritumu ir vērts 1,5 miljardus dolāru un JP Morgan ieguldīja 100 miljonus ASV dolāru. Ļaunums ir rentabls.
Conduit nolaupa jauno cilnes lapu ... bet kā?
Jūsu meklēšanas un mājas lapas nolaupīšana ir nevainojama jebkurai ļaunprātīgai programmatūrai - tas ir, ja Conduit palielina ļaunumu un kaut kādā veidā pārraksta jauno cilnes lapu, lai piespiestu to rādīt Conduit, pat ja jūs maināt katru iestatījumu.
Jūs varat atinstalēt visus pārlūkus vai pat instalēt pārlūkprogrammu, kuru iepriekš neesat instalējis, piemēram, Firefox vai Chrome, un Conduit joprojām spēs nolaupīt lapu Jauna cilne.
Kādam vajadzētu būt cietumā, bet, iespējams, atrodas jahtā.Tas neņem vērā daudzas prasmes ģeekā, lai galu galā secinātu, ka problēma ir meklēšanas aizsargs lietojumprogramma, kas darbojas sistēmas teknē. Nogalini šo procesu, un pēkšņi jaunās cilnes tiek atvērtas tieši tā, kā paredzēts pārlūkprogrammas veidotājam.
Bet kā tieši tā tas notiek? Nevienā pārlūkprogrammā nav instalēti pievienojumprogrammas vai paplašinājumi. Nav neviena spraudņa. Reģistrs ir tīrs. Kā viņi to dara?
Šeit mēs vēršamies pie Process Explorer, lai veiktu kādu izmeklēšanu. Pirmkārt, sarakstā tiks atrasts meklēšanas aizsardzības process, kas ir pietiekami viegli, jo tas ir pareizi nosaukts, bet, ja neesat pārliecināts, jūs vienmēr varat atvērt logu un izmantot mazo buļļu acu ikonu blakus binokļi, lai noskaidrotu, kurš process pieder pie loga.
Tagad jūs varat vienkārši izvēlēties atbilstošu procesu, kas šajā gadījumā bija viens no trim, ko automātiski vada Windows Service, ko Conduit instalē. Kā es zināju, ka tas ir Windows pakalpojums, kas to atsāk? Tā kā šīs rindas krāsa, protams, ir rozā. Ar šo zināšanu palīdzību es vienmēr varētu pārtraukt vai izdzēst pakalpojumu (lai gan šajā konkrētajā gadījumā jūs varat vienkārši atinstalēt no atinstalēšanas programmas vadības panelī).
Tagad, kad esat izvēlējies šo procesu, varat izmantot īsceļu taustiņus CTRL + H vai CTRL + D, lai atvērtu roktura skatu vai DLL skatu, vai arī varat izmantot izvēlni Skats -> apakšējā loga skatījums..
Piezīme: Windows pasaulē „rokturis” ir vesels skaitlis, ko izmanto, lai unikāli identificētu resursu atmiņā, piemēram, logā, atvērtā failā, procesā vai daudzās citās lietās. Katram jūsu datora atvērtajam lietojumprogrammas logam ir unikāls “logu rokturis”, ko var izmantot, lai to atsauktos.
DLL vai dinamiskas saites bibliotēkas ir kopīgi apkopoti kodi, kas tiek glabāti atsevišķā failā, lai tos koplietotu vairākās lietojumprogrammās. Piemēram, tā vietā, lai katrs lietojumprogramma rakstītu savus failu atvēršanas / saglabāšanas dialogus, visas lietojumprogrammas var vienkārši izmantot kopīgo dialoga kodu, ko Windows nodrošina failā comdlg32.dll.
Aplūkojot rokturu sarakstu dažu minūšu laikā, mēs nedaudz pietuvinājāmies tam, kas notiek, jo mēs atradām rokturi uz Internet Explorer un Chrome, kas abas pašlaik ir atvērtas testa sistēmā. Mēs noteikti esam apstiprinājuši, ka meklēšanas aizsargs dara kaut ko mūsu atvērtajiem pārlūkprogrammas logiem, bet mums būs jādara nedaudz vairāk pētījumu, lai noskaidrotu, kas tieši.
Nākamā lieta, kas jādara, ir divreiz uzklikšķiniet uz saraksta procesa, lai atvērtu detalizēto skatu, un pēc tam atveriet cilni Attēls, kas sniegs jums informāciju par pilnu ceļu uz izpildāmo, komandrindu un pat darba mape. Mēs noklikšķināsim uz pogas Izpētīt, lai apskatītu instalācijas mapi un redzētu, kas vēl slēpjas tur.
Interesanti! Šeit mēs esam atraduši vairākus DLL failus, bet kādu dīvainu iemeslu dēļ neviens no šiem DLL failiem nebija atrasts DLL skatījumā meklēšanas aizsardzības procesam, kad mēs to apskatījām agrāk. Tas varētu būt problēma.
Nākamā lapa: Darbs ar bloķētajiem failiem un mapēm