באמצעות סייר התהליך כדי לפתור ולאבחן

הבנת האופן שבו דיאלוגים של Process Explorer ואפשרויות העבודה שלו הם כולם בסדר וטוב, אבל מה לגבי השימוש בו עבור כמה בעיות בפועל או כדי לאבחן בעיה? השיעור של בית הספר החנון של היום ינסה לעזור לך ללמוד איך לעשות בדיוק את זה.

בית הספר ניווט

1. מה הם SysInternals כלים וכיצד אתה משתמש בהם?
2. הבנת תהליך Explorer
3. באמצעות סייר התהליך כדי לפתור ולאבחן
4. הבנת תהליך מעקב
5. באמצעות תהליך לפקח על בעיות ולמצוא פריצות הרישום
6. באמצעות Autoruns להתמודד עם תהליכי אתחול ותוכנות זדוניות
7. באמצעות BgInfo להציג מידע מערכת על שולחן העבודה
8. שימוש PsTools לשלוט מחשבים אחרים משורת הפקודה
9. ניתוח וניהול קבצים, תיקיות וכוננים
10. גלישת למעלה ושימוש בכלים יחד

לא כל כך מזמן, התחלנו לחקור כל מיני תוכנות זדוניות ו crapware כי מקבל מותקן באופן אוטומטי בכל פעם שאתה לא שם לב בעת התקנת התוכנה. כמעט כל פיסת תוכנה חופשית בשוק, כולל אלה "מכובד", הם bundling סרגלי כלים, חיפוש חטופים אימה, או פרסום, וחלק זה קשה לפתור.

ראינו מחשבים רבים מאנשים שאנחנו יודעים שיש כל כך הרבה תוכנות ריגול ותוכנות פרסום מותקנות כי המחשב בקושי אפילו טוען יותר. מנסה לטעון את דפדפן האינטרנט, במיוחד, הוא כמעט בלתי אפשרי, כמו כל תוכנות פרסום ומעקב מתחרה על משאבים כדי לגנוב את המידע הפרטי שלך ולמכור אותו למציע הגבוהה ביותר.

אז באופן טבעי, רצינו לעשות קצת חקירה איך חלק מהעבודות האלה, ואין מקום טוב יותר להתחיל מאשר תוכנות זדוניות Search Conduit כי יש טענה מאות מיליוני מחשבים ברחבי העולם. הזוועה הנפשעת הזו חונקת את מנוע החיפוש שלך בדפדפן שלך, משנה את דף הבית שלך, והכי מעצבן, זה לוקח על דף הכרטיסייה החדשה שלך לא משנה מה הדפדפן שלך מוגדר.

נתחיל בהסתכלות על זה, ואז נראה לך כיצד להשתמש ב- Process Explorer כדי לפתור שגיאות שמדברות על קבצים ותיקיות נעולים הנמצאים בשימוש.

ואז נוכל לעקוף את זה עם עוד מבט על כמה תוכנות פרסום בימים אלה מתחבאים מאחורי תהליכים של מיקרוסופט, כך שהם נראים לגיטימיים ב Process Explorer או מנהל המשימות, למרות שהם באמת לא.

חקירת תעלה חיפוש תוכנה זדונית

כפי שציינו, חוטף החיפוש Conduit הוא אחד הדברים מתמשך ביותר, נורא, נורא כי כמעט כל אחד קרוב שלך כנראה יש על המחשב שלהם. הם צרור התוכנה שלהם בדרכים מפוקפקות עם כל תוכנה חופשית הם יכולים, ובמקרים רבים, גם אם תבחר לבטל את הסכמתם, החוטף עדיין יהיה מותקן.

Conduit מתקין את מה שהם מכנים "חיפוש הגנה", אשר הם טוענים כי מונעת תוכנות זדוניות לבצע שינויים בדפדפן שלך. מה שהם לא מזכירים הוא שזה גם מונע ממך לבצע שינויים בדפדפן שלהם, אלא אם אתה משתמש בלוח החיפוש שלהם כדי לבצע שינויים אלה, אשר רוב האנשים לא יודעים על זה מאז שהוא קבור במגש המערכת.

לא רק Conduit לנתב מחדש את כל החיפושים שלך לדף מותאם אישית שלהם בינג, זה יהיה להגדיר את זה בתור דף הבית שלך. אחד היה צריך להניח כי מיקרוסופט משלמת אותם עבור כל תנועה זו בינג, שכן הם גם עוברים כמה ?PC = צינור סוג הארגומנטים במחרוזת השאילתה.

עובדה משעשעת: החברה שמאחורי פיסת האשפה הזו שווה 1.5 מיליארד דולר וג'יי.פי מורגן השקיעו בה 100 מיליון דולר. להיות רשע הוא רווחי.

Conduit חטף את דף הכרטיסייה החדשה ... אבל איך?

חטיפת החיפוש שלך ואת דף הבית הוא טריוויאלי עבור כל תוכנה זדונית - זה המקום שבו המדרגות מגביר את הרוע איכשהו rewrites את דף הכרטיסייה החדשה כדי לאלץ אותו להראות Conduit, גם אם תשנה כל הגדרה אחת.

תוכל להסיר את כל הדפדפנים שלך, או אפילו להתקין דפדפן שלא התקנת בעבר, כגון Firefox או Chrome, ו- Conduit עדיין יצליח לחטוף את הדף 'כרטיסייה חדשה'.

מישהו צריך להיות בכלא, אבל הם כנראה על יאכטה.

זה לא ייקח הרבה במונחים של מיומנויות חנון בסופו של דבר להסיק כי הבעיה היא יישום חיפוש הגנה פועל במגש המערכת. תהרוג את התהליך הזה, ופתאום הכרטיסיות החדשות שלך ייפתחו בדיוק כפי שמייצר הדפדפן.

אבל איך בדיוק היא עושה את זה? אין תוספים או תוספים המותקנים בכל אחד מהדפדפנים. אין תוספים. הרישום נקי. איך הם עושים את זה?

זה המקום שבו אנו פונים אל Explorer Explorer כדי לעשות קצת חקירה. ראשית, נמצא את תהליך החיפוש Protect ברשימה, וזה קל מספיק, כי הוא נקרא כראוי, אבל אם אתה לא בטוח, אתה תמיד יכול לפתוח את החלון ולהשתמש סמל השורש הקטן עין ליד משקפת כדי להבין איזה תהליך שייך לחלון.

עכשיו אתה יכול פשוט לבחור את התהליך המתאים, אשר במקרה זה היה אחד משלושה המופעלות באופן אוטומטי על ידי שירות Windows כי Conduit מותקן. איך ידעתי שזה שירות של Windows שמפעיל אותו מחדש? כי צבע השורה הזאת הוא ורוד, כמובן. חמושים עם הידע הזה, אני תמיד יכול ללכת לעצור או למחוק את השירות (אם כי במקרה מסוים זה, אתה יכול פשוט להסיר את ההתקנה מ 'הסר תוכניות' בלוח הבקרה).

כעת, לאחר שבחרת את התהליך, באפשרותך להשתמש במקשי קיצור הדרך CTRL + H או CTRL + D כדי לפתוח את תצוגת 'ידיות' או את תצוגת קבצי DLL, או להשתמש בתפריט תצוגה -> חלונית תחתונה כדי לעשות זאת.

הערה: בעולם של Windows, "ידית" היא ערך שלם המשמש לזיהוי ייחודי של זיכרון בזיכרון כמו חלון, קובץ פתוח, תהליך או דברים רבים אחרים. לכל חלון יישום פתוח במחשב יש "חלון" ייחודי, לדוגמה, שניתן להשתמש בו כדי להפנות אליו.

קבצי DLL, או ספריות קישור דינמי, הם חלקים משותפים של קוד הידור המאוחסנים בקובץ נפרד כדי להיות משותף בין יישומים מרובים. לדוגמה, במקום כל יישום לכתוב קובץ משלהם / שמור דיאלוגים, כל היישומים יכולים פשוט להשתמש בקוד שיח משותף שסופק על ידי Windows בקובץ comdlg32.dll.

מבט דרך רשימת ידיות במשך כמה דקות הביא לנו קצת יותר קרוב מה קורה, כי מצאנו ידיות ל- Internet Explorer ו- Chrome, שניהם פתוחים כעת על מערכת הבדיקה. אנו בהחלט מאשרים כי Search Protect הוא עושה משהו לחלונות הדפדפן הפתוחים שלנו, אבל נצטרך לעשות קצת יותר מחקר כדי להבין בדיוק מה.

הדבר הבא שיש לעשות הוא ללחוץ פעמיים על התהליך ברשימה כדי לפתוח את תצוגת הפרטים, ולאחר מכן להעיף אל הכרטיסייה תמונה, אשר יספק לך מידע על הנתיב המלא של ההפעלה, שורת הפקודה, ואפילו את תיקיית עבודה. אנו נלחץ על הלחצן 'חקור' כדי להעיף מבט בתיקיית ההתקנה ולראות מה עוד מסתתר שם.

מעניין! מצאנו מספר קבצי DLL כאן, אבל מסיבה מוזרה כלשהי אף אחד מקבצי DLL אלה לא מופיעים בתצוגת DLL עבור תהליך ההגנה על החיפוש כאשר התבוננו בו מוקדם יותר. זו יכולה להיות בעיה.

הדף הבא: התמודדות עם קבצים ותיקיות נעולים