Brug af Process Explorer til fejlfinding og diagnosticering
Forstå, hvordan Process Explorer's dialoger og muligheder fungerer, er alt fint og godt, men hvad med at bruge det til nogle faktiske fejlfinding eller til at diagnosticere et problem? Dagens Geek School lektion vil forsøge at hjælpe dig med at lære at gøre netop det.
SCHOOL NAVIGATION- Hvad er SysInternals Tools og hvordan bruger du dem?
- Forstå Process Explorer
- Brug af Process Explorer til fejlfinding og diagnosticering
- Forståelse Process Monitor
- Brug Procesovervågning til Fejlfinding og Find Registry Hacks
- Brug Autoruns til at håndtere opstartsprocesser og malware
- Brug af BgInfo til at vise systemoplysninger på skrivebordet
- Brug af PsTools til at styre andre pc'er fra kommandolinjen
- Analysere og administrere dine filer, mapper og drev
- Indpakning og brug af værktøjerne sammen
Ikke så længe siden begyndte vi at undersøge alle former for malware og crapware, der bliver installeret automatisk, hver gang du ikke er opmærksom på, mens du installerer software. Næsten alle dele af freeware på markedet, herunder de "velrenommerede", er bundlinje værktøjslinjer, søge kapring forfærdelighed eller adware, og nogle af det er svært at fejlfinding.
Vi har set mange computere fra folk, som vi ved, at der er så meget spyware og adware installeret, at pc'en næsten ikke laster mere. At forsøge at indlæse webbrowseren er især næsten umulig, da alle adware- og sporingssoftware konkurrerer om ressourcer for at stjæle dine private oplysninger og sælge den til den højeste budgiver.
Så naturligvis ønskede vi at undersøge, hvordan nogle af disse fungerer, og der er ikke noget bedre sted at starte end malware til Conduit Search, der har krævet hundredvis af millioner computere verden over. Denne skræmmende forfærdelighed kapsler din søgemaskine i din browser, ændrer din startside, og det er mest irriterende, at det tager over din nye fane side, uanset hvad din browser er indstillet til.
Vi begynder med at se på det, og så viser vi dig, hvordan du bruger Process Explorer til at fejle fejl, der snakker om låste filer og mapper, der er i brug.
Og så vil vi afrunde det med et andet kig på, hvordan nogle adware i disse dage skjuler sig bag Microsoft-processer, så de virker legitime i Process Explorer eller Task Manager, selv om de virkelig ikke er.
Undersøgelse af Conduit Search Malware
Som vi nævnte, er Conduit Search Hijacker en af de mest vedholdende, forfærdelige og forfærdelige ting, som næsten alle dine familiemedlemmer sandsynligvis har på deres computer. De bundter deres software på skyggefulde måder med ethvert freeware, de kan, og i mange tilfælde, selvom du vælger at fravælge, vil kaperen stadig blive installeret.
Conduit installerer det, de kalder "Search Protect", som de hævder forhindrer malware i at foretage ændringer i din browser. Hvad de ikke nævner er, at det også forhindrer dig i at foretage ændringer i deres browser, medmindre du bruger deres Search Protect-panel til at foretage disse ændringer, som de fleste ikke ved, da det er begravet i proceslinjen.
Ikke kun vil Conduit omdirigere alle dine søgninger til deres egen brugerdefinerede Bing-side, det vil indstille det som din startside. Man skulle antage, at Microsoft betaler dem for al denne trafik til Bing, da de også passerer nogle ?pc = ledning type argumenter i forespørgselsstrengen.
Sjovt faktum: Virksomheden bag dette affald er værd 1,5 milliarder dollars, og JP Morgan investerede 100 millioner dollars i dem. At være ondt er rentabelt.
Rør kapsler den nye fane side ... Men hvordan?
Kapning af din søgning og startside er trivielt for enhver malware - det er her, hvor Conduit træder op for ondskabet og på en eller anden måde omskriver siden Ny fane for at tvinge den til at vise Conduit, selvom du ændrer hver enkelt indstilling.
Du kan afinstallere alle dine browsere, eller endda installere en browser, du ikke har installeret før, som Firefox eller Chrome, og Conduit vil stadig klare at kapre siden Ny fane.
Nogen skal være i fængsel, men de er sandsynligvis på en yacht.Det tager ikke meget med hensyn til geekfærdigheder til sidst at udlede, at problemet er Search Protect-applikationen, der kører i proceslinjen. Dræb den proces, og pludselig åbner dine nye faner den måde, som browseren maker havde til hensigt.
Men hvordan gør det præcis det? Der er ingen tilføjelser eller udvidelser installeret i nogen af browserne. Der er ikke nogen plugins. Registreringsdatabasen er ren. Hvordan gør de det?
Det er her, vi vender os til Process Explorer for at foretage en undersøgelse. For det første finder vi Search Protect-processen i listen, hvilket er let nok, fordi det er korrekt navngivet, men hvis du ikke var sikker, kan du altid åbne vinduet og bruge det lille tyr-øjenikon ved siden af kikkert for at finde ud af, hvilken proces der tilhører et vindue.
Nu kan du blot vælge den relevante proces, som i dette tilfælde var en af de tre, der kører automatisk af den Windows Service, som Conduit installerer. Hvordan vidste jeg, at det var en Windows Service, der genstarter det? Fordi farven på den række er lyserød, selvfølgelig. Bevæbnet med denne viden kunne jeg altid stoppe eller slette tjenesten (selvom i dette særlige tilfælde kan du blot afinstallere fra Afinstaller programmer i Kontrolpanel).
Nu, hvor du har valgt processen, kan du bruge CTRL + H eller CTRL + D genvejstasterne til at åbne håndteringsvisningen eller DLL'evisningen, eller du kan bruge menuen View -> Lower Pane View til at gøre det.
Bemærk: I Windows-verden er et "håndtag" en heltalværdi, der bruges til unikt at identificere en ressource i hukommelsen som et vindue, en åben fil, en proces eller mange andre ting. Hvert åbent programvindue på din computer har et unikt "vindueshåndtag", som f.eks. Kan bruges til at referere det.
DLL'er, eller dynamiske linkbiblioteker, er delte stykker af kompileret kode, der er gemt i en separat fil, der skal deles mellem flere applikationer. For eksempel kan alle applikationer i stedet for at have alle applikationer skrive deres egne File Open / Save-dialoger, simpelthen bruge den fælles dialogkode, der leveres af Windows i comdlg32.dll-filen.
Gennemse listen over håndtag i et par minutter bragte os lidt tættere på hvad der foregik, fordi vi fandt håndtag til Internet Explorer og Chrome, som begge er åbne for testsystemet. Vi har helt sikkert bekræftet, at Search Protect gør noget for vores åbne browservinduer, men vi skal gøre lidt mere forskning for at finde ud af præcis hvad.
Den næste ting at gøre er at dobbeltklikke på processen i listen for at åbne detaljervisningen og derefter vende til fanen Billede, som giver dig oplysninger om den fulde sti til den eksekverbare, kommandolinjen og endda arbejdsmappe. Vi klikker på knappen Udforsk for at se på installationsmappen og se, hvad der mere gemmer sig der.
Interessant! Vi har fundet en række DLL-filer her, men for nogle underlige grunde blev ingen af disse DLL-filer angivet i DLL-visningen til Search Protect-processen, da vi kiggede på det tidligere. Dette kunne være et problem.
Næste side: Håndtering af låste filer og mapper