Zrozumienie, w jaki sposób działają okna dialogowe i opcje Eksploratora procesów, jest w porządku i dobrze, ale co z jego wykorzystaniem do rzeczywistego rozwiązywania problemów lub do diagnozowania problemu? Dzisiejsza lekcja Geek School postara się pomóc ci nauczyć się, jak to zrobić.
NAWIGACJA SZKOLNANiedawno zaczęliśmy sprawdzać wszelkiego rodzaju złośliwe oprogramowanie i oprogramowanie typu crapware, które instaluje się automatycznie za każdym razem, gdy nie zwracasz uwagi podczas instalowania oprogramowania. Prawie każdy darmowy program na rynku, w tym "renomowany", łączy w pary paski narzędzi, przeszukuje okropności lub oprogramowanie reklamowe, a niektóre z nich trudno jest rozwiązać.
Widzieliśmy wiele komputerów od znanych nam osób, które mają zainstalowane tak dużo programów szpiegujących i programów typu adware, że komputer ledwie je ładuje. Próba załadowania przeglądarki internetowej, w szczególności, jest prawie niemożliwa, ponieważ wszystkie oprogramowanie adware i śledzące konkurują o zasoby, aby wykraść twoje prywatne informacje i sprzedać je najwyższemu licytującemu.
Tak więc, naturalnie, chcieliśmy trochę zbadać, jak niektóre z nich działają i nie ma lepszego miejsca na początek niż złośliwe oprogramowanie Search Conduit, które pochłonęło setki milionów komputerów na całym świecie. Ta nikczemna okropność przejmuje kontrolę nad twoją wyszukiwarką w przeglądarce, zmienia stronę domową, a najbardziej irytująco przejmuje stronę Nowa karta, bez względu na to, jaka jest twoja przeglądarka.
Zaczniemy od obejrzenia tego, a następnie pokażemy, jak używać Eksploratora procesów do rozwiązywania problemów związanych z zablokowanymi plikami i folderami, które są w użyciu.
Następnie omówimy, jak niektóre adware ukrywają się za procesami Microsoftu, aby wyglądały na prawidłowe w Eksploratorze procesów lub Menedżerze zadań, nawet jeśli tak naprawdę nie są.
Jak już wspomnieliśmy, porywacz sieci Conduit to jedna z najbardziej wytrwałych, okropnych i okropnych rzeczy, które prawie każda z twoich krewnych prawdopodobnie ma na swoim komputerze. Łączą swoje oprogramowanie w mroczny sposób z dowolnym freeware, które mogą, aw wielu przypadkach, nawet jeśli zdecydujesz się zrezygnować, porywacz będzie nadal zainstalowany.
Conduit instaluje to, co nazywa "Search Protect", które według nich uniemożliwia złośliwym programom wprowadzanie zmian w przeglądarce. Nie wspominają o tym, że uniemożliwiają również wprowadzanie jakichkolwiek zmian w przeglądarce, chyba że użyjesz panelu Search Protect do wprowadzenia zmian, o których większość ludzi nie będzie wiedzieć, ponieważ są one ukryte w zasobniku systemowym.
Conduit nie tylko przekieruje wszystkie twoje wyszukiwania na swoją własną stronę Bing, ale ustawi ją jako stronę główną. Trzeba by założyć, że Microsoft płaci im za cały ten ruch do Bing, ponieważ oni również przekazują niektóre ? pc = conduit typ argumentów w ciągu zapytania.
Ciekawostka: firma stojąca za tym śmieciem ma wartość 1,5 miliarda dolarów, a JP Morgan zainwestował w nie 100 milionów dolarów. Bycie złym jest opłacalne.
Przejęcie kontroli nad wyszukiwarką i stroną główną jest banalne dla każdego złośliwego oprogramowania - tutaj Conduit usuwa złośliwość i w jakiś sposób przepisuje stronę Nowa karta, aby wymusić jej wyświetlanie Conduit, nawet jeśli zmienisz każde ustawienie.
Możesz odinstalować wszystkie przeglądarki, a nawet zainstalować przeglądarkę, której wcześniej nie instalowałeś, np. Firefox lub Chrome, a Conduit nadal będzie w stanie przechwycić stronę Nowa karta.
Ktoś powinien być w więzieniu, ale prawdopodobnie jest na jachcie.Nie trzeba wiele, jeśli chodzi o umiejętności maniaków, aby ostatecznie wydedukować, że problemem jest aplikacja Search Protect działająca w zasobniku systemowym. Zabij ten proces i nagle twoje nowe karty zostaną otwarte dokładnie tak, jak zamierzał projektant przeglądarki.
Ale jak dokładnie to robi? W żadnej z przeglądarek nie ma żadnych dodatków ani rozszerzeń. Nie ma żadnych wtyczek. Rejestr jest czysty. Jak oni to robią?
Tutaj przechodzimy do Process Explorer, aby przeprowadzić pewne dochodzenie. Najpierw na liście znajdzie się proces Search Protect, który jest dość łatwy, ponieważ jest odpowiednio nazwany, ale jeśli nie byłeś pewien, zawsze możesz otworzyć okno i użyć ikony małego buczaka obok lornetki, aby dowiedzieć się, który proces należy do okna.
Teraz możesz po prostu wybrać odpowiedni proces, który w tym przypadku był jednym z trzech uruchomionych automatycznie przez usługę Windows, którą instaluje Conduit. Skąd wiedziałem, że to usługa Windows ponownie ją uruchamia? Ponieważ kolor tego rzędu jest oczywiście różowy. Uzbrojony w tę wiedzę, zawsze mogę iść zatrzymać lub usunąć usługę (choć w tym przypadku można po prostu odinstalować z odinstalować programy w Panelu sterowania).
Po wybraniu tego procesu można użyć klawiszy skrótu CTRL + H lub CTRL + D, aby otworzyć widok Uchwyty lub widok bibliotek DLL, lub można użyć menu Widok -> Widok z niższego panelu, aby to zrobić.
Uwaga:w świecie systemu Windows "uchwyt" jest wartością całkowitą używaną do jednoznacznego identyfikowania zasobu w pamięci, takiego jak okno, otwarty plik, proces lub wiele innych rzeczy. Każde otwarte okno aplikacji na komputerze ma unikalny "uchwyt okna", na przykład, który można wykorzystać do odniesienia się do niego.
Pliki DLL lub biblioteki dołączane dynamicznie są udostępnianymi fragmentami skompilowanego kodu, które są przechowywane w oddzielnym pliku, aby można było je współdzielić z wieloma aplikacjami. Na przykład zamiast zapisywania własnych aplikacji w okienku dialogowym Otwórz / Zapisz plik, wszystkie aplikacje mogą po prostu użyć wspólnego kodu dialogowego podanego przez system Windows w pliku comdlg32.dll.
Przeglądanie listy uchwytów przez kilka minut przybliżyło nas trochę do tego, co się działo, ponieważ znaleźliśmy uchwyty do przeglądarki Internet Explorer i Chrome, które są obecnie otwarte w systemie testowym. Zdecydowanie potwierdziliśmy, że Search Protect robi coś w naszych otwartych oknach przeglądarki, ale musimy zrobić trochę więcej badań, aby dowiedzieć się dokładnie, co.
Następną rzeczą, którą należy zrobić, to dwukrotne kliknięcie procesu na liście, aby otworzyć widok szczegółów, a następnie przejść do zakładki Obraz, która wyświetli informacje o pełnej ścieżce do pliku wykonywalnego, linii poleceń, a nawet folder roboczy. Kliknij przycisk Przeglądaj, aby przejrzeć folder instalacji i zobaczyć, co jeszcze tam się ukrywa.
Ciekawy! Znaleźliśmy tutaj wiele plików DLL, ale z jakiegoś dziwnego powodu żaden z tych plików DLL nie był wymieniony w widoku DLL dla procesu Search Protect, gdy patrzyliśmy na niego wcześniej. To może być problem.
Następna strona: Radzenie sobie z zablokowanymi plikami i folderami